在近日发布的2007年十大web安全漏洞中,利用网页及cookies写作漏洞的跨站脚本攻击(xss)登上首位。
上周疑似使微软英国网站被骇的隐码攻击(injection flaw,包括sql injection及command injection)居次,第三位则是web应用程序引入外部恶意程序的恶意文件执行攻击(malicious file execution)。
在web 2.0流行风潮下,新的网页应用程序开发与相关技术(如ajax)的应用,成为网站欲出奇致胜的重点,但在网站经营者争相提供创新网页服务的情况下,网页应用程序的安全性也成为新的问题。
趋势科技台湾技术顾问简胜财便指出,包括跨站脚本攻击与数据隐码攻击等上榜漏洞,多半都是因网页应用程序写作不当,才产生让黑客得以入侵的漏洞.
他认为,网页应用程序开发人员多半缺乏安全相关训练,导致开发出的程序可能存在漏洞,导致黑客得以入侵网页,进而窜改网页、植入恶意程序,或偷取数据,他认为,企业网页开发人员进行网页程序开发时,应更严谨,避免类似事件再次发生。
他并以6月底发生在意大利等欧洲国家,万余网站遭入侵的事件为例解释,黑客已可利用特殊工具包(toolkit),主动搜索网站漏洞,进而入侵、窜改网页内容,甚至造成大规模网灾,提醒网页应用漏洞的普遍性,以及一旦遭黑客利用所可能造成的严重后果。
厂商则建议企业采用网页应用防护设备设备来检测网站漏洞。
例如阿码科技(armorize technologies)即推出网页应用程序原始码检测器codesecure verifier,以自动静态分析(automated static analysis)技术,提供网页应用程序开发人员从开发过程到上线后的开发生命周期的原始程序代码分析。
至于netcontinuum、f5与check point等厂商,则是推出网页应用防火墙(web application firewall),或将其功能整并入如utm等网络安全硬件中,以阻隔针对网页应用而来的攻击的方式,达到保护网页应用安全性的目标。
2007十大web安全漏洞第四至第十名分别为:
应用程序可任意访问文件的insecure direct object reference
让合法使用者执行恶意程序指令却可能被允许的cross-site request forgery(csrf)
错误信息泄露机密数据的information leakage and improper error handling
身份验证功能缺陷的broken authentication and session management
敏感数据加密不安全或无加密的insecure cryptographic storage
传输数据未加密insecure communication
以及因无权限控制导致可直接存取数据的failure to restrict url access。