2007十大Web安全漏洞 跨站脚本攻击XSS居首

来源:百度文库 编辑:神马文学网 时间:2024/05/02 11:10:03

安全组织9日发布2007年十大Web安全漏洞,而利用网页及cookies写作漏洞的跨站脚本攻击(XSS)登上首位.
开放Web软件安全计划(Open Web Application SecurityProject,OWASP)台湾分会今发表2007十大Web安全漏洞,年初曾发生在知名文件阅读器Adobe AcrobatReader上的跨站脚本攻击(Cross Site Scripting,XSS)居首位.
而上周疑似使微软英国网站被骇的隐码攻击(Injection Flaw,包括SQL Injection及CommandInjection)居次,第三位则是Web应用程序引入外部恶意程序的恶意文件执行攻击(Malicious File Execution).
OWASP台湾分会主席黄耀文在新闻稿中表示,该安全漏洞报告乃经由OWASP的资深安全专家,依Web安全弱点的严重性、与是否易于被黑客采用等依据所选出,作为网站开发人员开发时的安全参考.
在Web 2.0流行风潮下,新的网页应用程序开发与相关技术(如AJAX)的应用,成为网站欲出奇致胜的重点,但在网站经营者争相提供创新网页服务的情况下,网页应用程序的安全性也成为新的问题.
趋势科技台湾技术顾问简胜财便指出,包括跨站脚本攻击与数据隐码攻击等上榜漏洞,多半都是因网页应用程序写作不当,才产生让黑客得以入侵的漏洞.
他认为,网页应用程序开发人员多半缺乏安全相关训练,导致开发出的程序可能存在漏洞,导致黑客得以入侵网页,进而窜改网页、植入恶意程序,或偷取数据,他认为,企业网页开发人员进行网页程序开发时,应更严谨,避免类似事件再次发生.
他并以6月底发生在意大利等欧洲国家,万余网站遭入侵的事件为例解释,黑客已可利用特殊工具包(toolkit),主动搜索网站漏洞,进而入侵、窜改网页内容,甚至造成大规模网灾,提醒网页应用漏洞的普遍性,以及一旦遭黑客利用所可能造成的严重后果.
厂商则建议企业采用网页应用防护设备设备来检测网站漏洞.
例如阿码科技(Armorize Technologies)即推出网页应用程序原始码检测器CodeSecureVerifier,以自动静态分析(Automated StaticAnalysis)技术,提供网页应用程序开发人员从开发过程到上线后的开发生命周期的原始程序代码分析.
至于NetContinuum、F5与Check Point等厂商,则是推出网页应用防火墙(Web Application Firewall),或将其功能整并入如UTM等网络安全硬件中,以阻隔针对网页应用而来的攻击的方式,达到保护网页应用安全性的目标.
OWASP 2007十大Web安全漏洞第四至第十名分别为:应用程序可任意访问文件的Insecure Direct ObjectReference、让合法使用者执行恶意程序指令却可能被允许的Cross-Site RequestForgery(CSRF)、错误信息泄露机密数据的Information Leakage and Improper ErrorHandling、身份验证功能缺陷的Broken Authentication and SessionManagement、敏感数据加密不安全或无加密的Insecure Cryptographic Storage、传输数据未加密InsecureCommunication,以及因无权限控制导致可直接存取数据的Failure to Restrict URL Access.
ZDNet消息

2007十大Web安全漏洞 跨站脚本攻击XSS居首 XSS攻击 XSS攻击 XSS攻击测试语句大全s 跨站结合MS06-014实现XSS worm 跨站结合MS06-014实现XSS worm 测试Web应用程序是否存在跨站点脚本漏洞 北约专家:北约可能面临三大威胁 导弹攻击居首 英特尔承认迅驰存在安全漏洞 可引发黑客攻击 宽带用户防范“黑客”攻击十大招式 微软明年面临十大挑战 Vista销售难题居首 香港十大开心新闻 亚运夺六金居首 全球十大消费昂贵城市 香港居首东京第二 中国“十大国际友人”评选揭晓白求恩居首(图) 近年十大灭绝物种:中国白鳍豚居首 时代周刊2009十大奇闻:瑞典烧兔子供暖居首 中国十大创新城市排行出炉 深圳居首 媒体评国际十大军事新闻:索马里海盗威胁居首 十大无法解释的迷团:“鬼哭神嚎”居首 微软明年面临十大挑战 Vista销售难题居首 世界十大迷人沙漠?塔克拉玛干沙漠居首_ 世界十大迷人沙漠?塔克拉玛干沙漠居首 中国收费最高十大高校 中央戏剧学院居首 官场十大高危岗位:国土局长居首