主頁 > 知識(shí)庫 > 2004年十大網(wǎng)絡(luò)安全漏洞

2004年十大網(wǎng)絡(luò)安全漏洞
熱門標(biāo)簽:服務(wù)器配置 呼叫中心市場需求 銀行業(yè)務(wù) 鐵路電話系統(tǒng) 智能手機(jī) 網(wǎng)站文章發(fā)布 檢查注冊(cè)表項(xiàng) 美圖手機(jī)
   國際安全組織新發(fā)布:2004年十大網(wǎng)絡(luò)應(yīng)用漏洞 
   
IT安全專業(yè)人士的開放網(wǎng)絡(luò)應(yīng)用安全計(jì)劃組織(OWASP)發(fā)布的第二份年度十大網(wǎng)絡(luò)應(yīng)用安全薄弱環(huán)節(jié)列表中,增加了“拒絕提供服務(wù)”類型的隱患,因?yàn)樵谌ツ暝擃愋偷碾[患已屢見不鮮。OWASP的主席兼“奠基石”(一家提供戰(zhàn)略安全服務(wù)的公司)顧問會(huì)主任柯費(fèi)·馬克稱:“我們預(yù)測:本年度,主要的電子商務(wù)網(wǎng)站將遭到拒絕提供服務(wù)的攻擊,因?yàn)楹诳鸵呀?jīng)對(duì)眾多的用戶密碼感到厭煩?!北热纾寒?dāng)一名掌握著大量電子郵件帳號(hào)的黑客發(fā)起攻擊,致使電子商務(wù)網(wǎng)站上的用戶密碼被修改時(shí),他便得手了。 


當(dāng)柯費(fèi)在Charles 
Schwab從事IT安全工作時(shí),他和其他公司的同行組建了OWASP,并開始著手對(duì)與保護(hù)網(wǎng)站安全相關(guān)的重大問題進(jìn)行評(píng)定。最終,在隨后的一年他們發(fā)表了一份近200頁的OWASP指導(dǎo)性文獻(xiàn)。這份資料直接面向IT安全專業(yè)人士和編程人員,其下載次數(shù)多達(dá)150萬次。 


柯費(fèi)說:“它被認(rèn)可的程度遠(yuǎn)遠(yuǎn)超乎我們的估計(jì)。”但是,編程人員卻說:他們需要某種能拿給CIO和其他主管人員看的東西,因此,去年該機(jī)構(gòu)發(fā)布了它的第一份《十大網(wǎng)絡(luò)應(yīng)用安全薄弱環(huán)節(jié)列表》。此處是2004年的十大薄弱環(huán)節(jié)名列: 


未經(jīng)驗(yàn)證的參數(shù):某信息在被一種網(wǎng)絡(luò)應(yīng)用軟件使用之前未被驗(yàn)證其合法性,攻擊者可以利用這種信息攻擊后方應(yīng)用軟件組件。 

失效的訪問控制:控制各種授權(quán)用戶的訪問權(quán)限的限制性條件施用不當(dāng),造成攻擊者利用這些漏洞訪問其它用戶的帳戶或者使用非經(jīng)授權(quán)的功能。 

失效的帳戶及對(duì)話管理:帳戶證書和對(duì)話權(quán)標(biāo)沒有得到妥當(dāng)?shù)谋Wo(hù),導(dǎo)致攻擊者對(duì)密碼、密鑰、對(duì)話信息或者權(quán)標(biāo)實(shí)施非法操作,并以其它用戶的身份通過認(rèn)證; 

跨站點(diǎn)腳本漏洞:網(wǎng)絡(luò)應(yīng)用軟件可以被攻擊者用作一種將攻擊轉(zhuǎn)移至終端用戶的瀏覽器的裝置。一次成功的攻擊可以獲取到終端用戶的對(duì)話信息或可以偽造內(nèi)容以欺騙用戶。 


緩沖溢出:以某些無法正確驗(yàn)證輸入信息的語言編寫的網(wǎng)絡(luò)應(yīng)用軟件程序組件很可能會(huì)毀掉某個(gè)進(jìn)程;同時(shí),在某些情況下,也能被用于控制某個(gè)進(jìn)程。這些組件可能包括公共網(wǎng)關(guān)接口(CGI)、程序庫、驅(qū)動(dòng)程序和網(wǎng)絡(luò)應(yīng)用軟件服務(wù)器組件。 


命令注入漏洞:當(dāng)網(wǎng)絡(luò)應(yīng)用軟件訪問外部系統(tǒng)或者是本地操作系統(tǒng)時(shí),網(wǎng)絡(luò)應(yīng)用軟件可能會(huì)傳遞出一些參數(shù)。如果攻擊者能夠在這些參數(shù)中嵌入一些惡意命令,那么外部系統(tǒng)可能會(huì)以這種網(wǎng)絡(luò)應(yīng)用軟件的名義來執(zhí)行這些命令。 


錯(cuò)誤的非正確處理:在用戶對(duì)系統(tǒng)進(jìn)行正常操作的過程中出現(xiàn)一些錯(cuò)誤,這些錯(cuò)誤沒有得到正確的處理。在這種情況下,攻擊者能夠利用這些錯(cuò)誤獲取到詳細(xì)的系統(tǒng)信息、拒絕服務(wù)、引起安全系統(tǒng)癱瘓或者摧毀服務(wù)器。 


非安全存儲(chǔ):使用加密功能來保護(hù)信息和證書的網(wǎng)絡(luò)應(yīng)用軟件,業(yè)已經(jīng)過證實(shí)難以正常進(jìn)行編碼,從而導(dǎo)致保護(hù)功能的弱化。 

拒絕提供服務(wù):如上所述,攻擊者極度消耗網(wǎng)絡(luò)應(yīng)用資源,以致其他合法用戶再無法利用這些資源或使用應(yīng)用程序。攻擊者還可以封鎖用戶的帳戶或?qū)е聼o法進(jìn)行帳戶申請(qǐng)。 


非安全的配置管理:擁有一個(gè)過得硬的服務(wù)器配置標(biāo)準(zhǔn)對(duì)于保護(hù)網(wǎng)絡(luò)應(yīng)用軟件來說是至關(guān)重要的。這些服務(wù)器有許多可以影響到安全的配置選項(xiàng),如果選擇錯(cuò)誤將使其失去安全性?!熬W(wǎng)絡(luò)應(yīng)用安全面臨著各種挑戰(zhàn),”柯費(fèi)說。“許多問題是人的邏輯問題,這些問題是永遠(yuǎn)無法用技術(shù)手段找得到的。沒有什么靈丹妙藥。它是一道邏輯上的難題,一類有待解決的新問題。” 
您可能感興趣的文章:
  • PHPShop存在多個(gè)安全漏洞
  • 計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全漏洞分類研究
  • 逐一偵破網(wǎng)上銀行安全漏洞
  • VBScript開發(fā)自動(dòng)化測試腳本的方法分析
  • android monkey自動(dòng)化測試改為java調(diào)用monkeyrunner Api
  • Android 自動(dòng)化測試經(jīng)驗(yàn)分享 UiObejct.getFromParent()的使用方法
  • Python自動(dòng)化測試工具Splinter簡介和使用實(shí)例
  • python自動(dòng)化測試實(shí)例解析
  • 實(shí)現(xiàn)android應(yīng)用程序自動(dòng)化測試的批處理腳本
  • JavaScript 常見安全漏洞和自動(dòng)化檢測技術(shù)

標(biāo)簽:長治 滄州 沈陽 河南 新疆 紅河 上海 樂山

巨人網(wǎng)絡(luò)通訊聲明:本文標(biāo)題《2004年十大網(wǎng)絡(luò)安全漏洞》,本文關(guān)鍵詞  ;如發(fā)現(xiàn)本文內(nèi)容存在版權(quán)問題,煩請(qǐng)?zhí)峁┫嚓P(guān)信息告之我們,我們將及時(shí)溝通與處理。本站內(nèi)容系統(tǒng)采集于網(wǎng)絡(luò),涉及言論、版權(quán)與本站無關(guān)。
  • 相關(guān)文章
  • 收縮
    • 微信客服
    • 微信二維碼

    • 電話咨詢

    • 400-1100-266