2004年十大网络安全漏洞

国际安全组织新发布:2004年十大网络应用漏洞 
   
IT安全专业人士的开放网络应用安全计划组织(OWASP)发布的第二份年度十大网络应用安全薄弱环节列表中,增加了“拒绝提供服务”类型的隐患,因为在去年该类型的隐患已屡见不鲜。OWASP的主席兼“奠基石”(一家提供战略安全服务的公司)顾问会主任柯费·马克称:“我们预测:本年度,主要的电子商务网站将遭到拒绝提供服务的攻击,因为黑客已经对众多的用户密码感到厌烦。”比如:当一名掌握着大量电子邮件帐号的黑客发起攻击,致使电子商务网站上的用户密码被修改时,他便得手了。

当柯费在Charles 
Schwab从事IT安全工作时,他和其他公司的同行组建了OWASP,并开始着手对与保护网站安全相关的重大问题进行评定。最终,在随后的一年他们发表了一份近200页的OWASP指导性文献。这份资料直接面向IT安全专业人士和编程人员,其下载次数多达150万次。

柯费说:“它被认可的程度远远超乎我们的估计。”但是,编程人员却说:他们需要某种能拿给CIO和其他主管人员看的东西,因此,去年该机构发布了它的第一份《十大网络应用安全薄弱环节列表》。此处是2004年的十大薄弱环节名列:

未经验证的参数:某信息在被一种网络应用软件使用之前未被验证其合法性,攻击者可以利用这种信息攻击后方应用软件组件。

失效的访问控制:控制各种授权用户的访问权限的限制性条件施用不当,造成攻击者利用这些漏洞访问其它用户的帐户或者使用非经授权的功能。

失效的帐户及对话管理:帐户证书和对话权标没有得到妥当的保护,导致攻击者对密码、密钥、对话信息或者权标实施非法操作,并以其它用户的身份通过认证;

跨站点脚本漏洞:网络应用软件可以被攻击者用作一种将攻击转移至终端用户的浏览器的装置。一次成功的攻击可以获取到终端用户的对话信息或可以伪造内容以欺骗用户。

缓冲溢出:以某些无法正确验证输入信息的语言编写的网络应用软件程序组件很可能会毁掉某个进程;同时,在某些情况下,也能被用于控制某个进程。这些组件可能包括公共网关接口(CGI)、程序库、驱动程序和网络应用软件服务器组件。

命令注入漏洞:当网络应用软件访问外部系统或者是本地操作系统时,网络应用软件可能会传递出一些参数。如果攻击者能够在这些参数中嵌入一些恶意命令,那么外部系统可能会以这种网络应用软件的名义来执行这些命令。

错误的非正确处理:在用户对系统进行正常操作的过程中出现一些错误,这些错误没有得到正确的处理。在这种情况下,攻击者能够利用这些错误获取到详细的系统信息、拒绝服务、引起安全系统瘫痪或者摧毁服务器。

非安全存储:使用加密功能来保护信息和证书的网络应用软件,业已经过证实难以正常进行编码,从而导致保护功能的弱化。

拒绝提供服务:如上所述,攻击者极度消耗网络应用资源,以致其他合法用户再无法利用这些资源或使用应用程序。攻击者还可以封锁用户的帐户或导致无法进行帐户申请。

非安全的配置管理:拥有一个过得硬的服务器配置标准对于保护网络应用软件来说是至关重要的。这些服务器有许多可以影响到安全的配置选项,如果选择错误将使其失去安全性。“网络应用安全面临着各种挑战,”柯费说。“许多问题是人的逻辑问题,这些问题是永远无法用技术手段找得到的。没有什么灵丹妙药。它是一道逻辑上的难题,一类有待解决的新问题。”

(0)

相关推荐

  • VBScript开发自动化测试脚本的方法分析

    我在软件测试这个行业也是做过很多年了,自己的方向也是自动化测试,对VBScript脚本也算是了解,在测试过程中 也应用了一些,所以来谈谈如何使用VBScript来开发自动化测试. 首先先介绍几个可以在自动化测试开发中用到的VBScript的几个函数. 1.InStr 函数描述 返回某字符串在另一字符串中第一次出现的位置.语法InStr([start, ]string1, string2[, compare]) InStr 函数的语法有以下参数: 参数 描述 start 可选.数值表达式,用于设置

  • 计算机网络系统安全漏洞分类研究

    写本文的目地是为了总结一些东西,解决在试图构造一个漏洞数据库的过程中碰到的主要问题,也就是如何对计算机网络漏洞进行分类的问题.文中的一些想法并不成熟,有些甚至连自己也不满意,权作抛砖引玉,以期与在这方面有深入研究的同仁交流,共同提高完善.一个计算机网络安全漏洞有它多方面的属性,我认为主要可以用以下几个方面来概括:漏洞可能造成的直接威胁,漏洞的成因,漏洞的严重性,漏洞被利用的方式.以下的讨论将回绕这几个方面对漏洞细分其类.A.按漏洞可能对系统造成的直接威胁 可以大致分成以下几类,事实上一个系统漏洞

  • JavaScript 常见安全漏洞和自动化检测技术

    前言 随着 Web2.0 的发展以及 Ajax 框架的普及,富客户端 Web 应用(Rich Internet Applications,RIA)日益增多,越来越多的逻辑已经开始从服务器端转移至客户端,这些逻辑通常都是使用 JavaScript 语言所编写.但遗憾的是,目前开发人员普遍不太关注 JavaScript 代码的安全性.据 IBM X-Force 2011 年中期趋势报告揭示,世界五百强的网站及常见知名网站中有 40% 存在 JavaScript 安全漏洞.本文将结合代码向读者展示常见

  • 实现android应用程序自动化测试的批处理脚本

    测试平台:兼容android所有平台(2.3-4.2) 测试背景:由于需要对产品的SDK做接口测试,而这些接口需要在app里面调用,故开发了一个简单的android应用(如图),用来调用需要测试的接口,app中的每个按钮其实都是一个测试模块. 测试需求: 1.由于某些接口在程序第一次安装打开时调用,需要实现自动化安装打开关闭卸载测试,可设置重复次数. 2.由于需要测试接口的稳定性,每个按钮每天都要跑多篇,所以实现简单点击的UI自动化,循环点击. 3.自动检查收集logcat日志并解析日志结果:自

  • PHPShop存在多个安全漏洞

    受影响系统: phpShop phpShop 0.6.1-b 详细描述: phpShop是一款基于PHP的电子商务程序,可方便的扩展WEB功能.phpShop存在多个安全问题,远程攻击者可以利用这些漏洞攻击数据库,获得敏感信息,执行任意脚本代码. 具体问题如下: 1.SQL注入漏洞: 当更新会话时存在一个SQL注入问题,可以对"page"变量提交恶意SQL命令而修改原有SQL逻辑,同样对"product_id"和"offset"变量进行注入也存在

  • Python自动化测试工具Splinter简介和使用实例

    Splinter 快速介绍 官方网站:http://splinter.cobrateam.info/ 官方介绍: Splinter is an open source tool for testingweb applications using Python. It lets you automate browser actions, such asvisiting URLs and interacting with their items 特性:1.可以模拟浏览器行为,访问指定的URL,并且可

  • python自动化测试实例解析

    本文实例讲述了python自动化测试的过程,分享给大家供大家参考. 具体代码如下: import unittest ######################################################################## class RomanNumeralConverter(object): """converter the Roman Number""" #-----------------------

  • android monkey自动化测试改为java调用monkeyrunner Api

    众所周知,一般情况下我们使用android中的monkeyrunner进行自动化测试时,使用的是python语言来写测试脚本.不过,最近发现可以用java调用monkeyrunner Api,用java语言写测试脚本. 于是,就简单研究了一下.这里做一些总结.希望有对在研究的午饭可以有所用处. 开始时,搜素到一些零碎的教程,说使用java调用monkeyrunner时,需要导入android sdk  tools路径下的lib里面的4个包:ddmlib.jar,guavalib.jar,monk

  • Android 自动化测试经验分享 UiObejct.getFromParent()的使用方法

    1. UiObejct.getFromParent()的用法:从这个名字就知道,就是从当前对象的父对象中查找想要的子对象,该子对象和当前对象应该是同一层级. 如上图所示:Max inactivity before lock是已知条件,4 minutes是我想动态获取的内容.那应该怎么做呢? 先看看结构:TableLayout(curent index is 2) - TableRow(has several indexes) - TextView(has 2 indexes). 1.先获取Tab

  • 逐一侦破网上银行安全漏洞

    当我们还没来得及感叹网上银行的快捷与便利,病毒与黑客的不断得逞就已经把许多用户吓了好一哆嗦.难道说享受便捷的生活就一定要用自身的安全来交换吗? [用户篇]不要和陌生人说话 案件回放 2005年2月28日,网友小姚在一个名为"利好交易网"的网站上,点击进入了工商银行网上支付系统,他在输入了自己的卡号和密码后却无法登录.好在小姚及时地发现这个工行网站和去年被媒体所曝光的那个假网站非常相似,并迅速赶往附近的工行,取出卡里的大部分钱,只留下71元.几个小时后,当小姚再次查询余额时,发现卡里除了

随机推荐