2007十大Web安全漏洞跨站脚本攻击居首位

您现在的位置：猫头鹰病毒资讯网 >> 系统安全 >> 系统安全 >> 文章正文

作者：佚名文章来源：网络收集点击数：更新时间：2007-9-28

金山联盟百度打造中国互联网

国内知名的信息网络安全厂商金山联手全球最大的中文搜索引擎百度共同推出一款基于WEB的零客户端（网页方式）的安全解决方案——“百度……

金山联盟百度打造中国互联网第一免费杀毒平台

Nod32获得Avc本年度最佳反病毒产品殊荣

常见手机病毒分析

PPLive携手ESET NOD32发布免费版杀毒防毒软件

卡巴斯基7.0简体中文版上市

在近日发布的2007年十大Web安全漏洞中，利用网页及cookies写作漏洞的跨站脚本攻击(XSS)登上首位。

　　上周疑似使微软英国网站被骇的隐码攻击(Injection Flaw，包括SQL Injection及Command Injection)居次，第三位则是Web应用程序引入外部恶意程序的恶意文件执行攻击(Malicious File Execution)。

　　在Web 2.0流行风潮下，新的网页应用程序开发与相关技术(如AJAX)的应用，成为网站欲出奇致胜的重点，但在网站经营者争相提供创新网页服务的情况下，网页应用程序的安全性也成为新的问题。

　　趋势科技台湾技术顾问简胜财便指出，包括跨站脚本攻击与数据隐码攻击等上榜漏洞，多半都是因网页应用程序写作不当，才产生让黑客得以入侵的漏洞.

　　他认为，网页应用程序开发人员多半缺乏安全相关训练，导致开发出的程序可能存在漏洞，导致黑客得以入侵网页，进而窜改网页、植入恶意程序，或偷取数据，他认为，企业网页开发人员进行网页程序开发时，应更严谨，避免类似事件再次发生。

　　他并以6月底发生在意大利等欧洲国家，万余网站遭入侵的事件为例解释，黑客已可利用特殊工具包(toolkit)，主动搜索网站漏洞，进而入侵、窜改网页内容，甚至造成大规模网灾，提醒网页应用漏洞的普遍性，以及一旦遭黑客利用所可能造成的严重后果。

　　厂商则建议企业采用网页应用防护设备设备来检测网站漏洞。

　　例如阿码科技(Armorize Technologies)即推出网页应用程序原始码检测器CodeSecure Verifier，以自动静态分析(Automated Static Analysis)技术，提供网页应用程序开发人员从开发过程到上线后的开发生命周期的原始程序代码分析。

　　至于NetContinuum、F5与Check Point等厂商，则是推出网页应用防火墙(Web Application Firewall)，或将其功能整并入如UTM等网络安全硬件中，以阻隔针对网页应用而来的攻击的方式，达到保护网页应用安全性的目标。

　　2007十大Web安全漏洞第四至第十名分别为：应用程序可任意访问文件的Insecure Direct Object Reference、让合法使用者执行恶意程序指令却可能被允许的Cross-Site Request Forgery(CSRF)、错误信息泄露机密数据的Information Leakage and Improper Error Handling、身份验证功能缺陷的Broken Authentication and Session Management、敏感数据加密不安全或无加密的Insecure Cryptographic Storage、传输数据未加密Insecure Communication，以及因无权限控制导致可直接存取数据的Failure to Restrict URL Access。

文章录入：菜猫责任编辑：菜猫

上一篇文章：系统中删除病毒

下一篇文章：专家谈反击AV终结者病毒的“麻雀战法”

热点文章