應(yīng)用程序級(jí)的安全漏洞通常不會(huì)像類似SirCam的郵件病毒或者諸如Code Red這樣的蠕蟲病毒那么容易廣為擴(kuò)散，但它們也同樣會(huì)造成很多問題，從竊取產(chǎn)品或信息到使整個(gè)Web站點(diǎn)完全癱瘓。確保網(wǎng)站web應(yīng)用程序的安全不是一件簡(jiǎn)單的事，而不幸的是對(duì)應(yīng)用程序的攻擊是非常容易的。

一個(gè)和黑客通常都會(huì)花上幾個(gè)小時(shí)來(lái)熟悉Web應(yīng)用程序，象編制這一程序的程序員那樣思考然后找出編程時(shí)留下的漏洞，然后通過瀏覽器惡意地與應(yīng)用程序及其相關(guān)的設(shè)施進(jìn)行交互，造成或大或小的損害。

要防止這些問題，公司必須找出網(wǎng)站的弱點(diǎn)然后關(guān)閉有可能被黑可利用的縫隙。本文列舉并解釋網(wǎng)站中最容易被黑客利用從而進(jìn)行攻擊的弱點(diǎn)。

找出問題

作為Sanctum公司的CTO，我?guī)椭^許多公司找出并修補(bǔ)web應(yīng)用程序中的安全問題。Sanctum公司同時(shí)提供安全咨詢服務(wù)和用于完善網(wǎng)絡(luò)安全的長(zhǎng)期防衛(wèi)技術(shù)以及驗(yàn)證工具從而為許多從事電子商務(wù)公司解決了大量的應(yīng)用程序級(jí)安全問題。

Sanctum檢查了超過100家的頂尖網(wǎng)站，模擬黑客攻擊，發(fā)現(xiàn)超過百分之97的網(wǎng)站有只需幾個(gè)小時(shí)就能攻破的嚴(yán)重的應(yīng)用程序級(jí)問題。Sanctum所進(jìn)行的檢查通常被稱為"善意黑客"，因?yàn)槭强蛻粢蟛⑹跈?quán)Sanctum對(duì)他們的網(wǎng)站進(jìn)行入侵的--象某個(gè)用戶(或黑客)那樣，在公司的防火墻和網(wǎng)絡(luò)之外對(duì)網(wǎng)站進(jìn)行訪問。

通過使用Sanctum的自動(dòng)化應(yīng)用程序弱點(diǎn)評(píng)估工具AppScan，檢察人員遍歷整個(gè)網(wǎng)絡(luò)，辨識(shí)網(wǎng)站的應(yīng)用程序安全策略，找出目標(biāo)站點(diǎn)已知和未知的漏洞，然后模擬黑客利用這些漏洞對(duì)網(wǎng)站進(jìn)行攻擊。每次成功的攻擊和每個(gè)漏洞的嚴(yán)重程度都會(huì)進(jìn)行評(píng)估，然后提交給公司一份詳細(xì)的報(bào)告以及修補(bǔ)建議。

常見漏洞

幾乎所有Sanctum進(jìn)行過的檢查都發(fā)現(xiàn)各個(gè)網(wǎng)站都采取了嚴(yán)密的網(wǎng)絡(luò)級(jí)安全措施(例如防火墻和加密)，這些站點(diǎn)仍然會(huì)使黑客能夠?qū)蛻艉凸具M(jìn)行入侵。

1. Cookie中毒--身份偽裝

通過處理存放在瀏覽器cookie中的信息，黑客偽裝成合法的用戶然后就可以存取用戶的信息。許多Web應(yīng)用程序使用客戶機(jī)上的cookie來(lái)保存信息(用戶身份、時(shí)間戳等等)。由于cookie通常都沒有加密，黑客可以對(duì)它們進(jìn)行修改，這樣就可以通過這些"中了毒的cookie"來(lái)欺騙應(yīng)用程序。心存惡意的用戶可以訪問他人的賬戶然后象真正用戶那樣行事。

2. 操縱隱藏字段--電子行竊

黑客能夠很容易地更改網(wǎng)頁(yè)原碼中的隱藏字段以改變某件商品的價(jià)格。這些字段通常用來(lái)保存客戶的會(huì)話的信息，以便減少服務(wù)器端復(fù)雜的數(shù)據(jù)庫(kù)處理工作。由于電子商務(wù)應(yīng)用程序使用隱藏字段來(lái)保存商品的價(jià)格，Sanctum的檢查人員就能夠看到網(wǎng)站的源代碼，找出隱藏字段，然后更改價(jià)目。而在真實(shí)環(huán)境中沒有人能發(fā)現(xiàn)這些改動(dòng)，而這家公司必須按照改動(dòng)后的價(jià)格發(fā)送商品，甚至發(fā)送折扣。

3. 篡改參數(shù)--欺詐

這種技術(shù)改變網(wǎng)站URL的參數(shù)。很多web應(yīng)用程序無(wú)法確定嵌入在超鏈接中CGI參數(shù)的正確性。比如說(shuō)，允許信用卡使用500，000元這樣大額的限制，跳過網(wǎng)站的登陸界面以及允許對(duì)取消后的訂單和客戶信息進(jìn)行訪問。

4. 緩沖區(qū)溢出--業(yè)務(wù)終止

通過使用某種形式的數(shù)據(jù)流，用過量的信息使服務(wù)器超載，黑客常常能夠使服務(wù)器崩潰從而關(guān)閉網(wǎng)站。

5. 跨站點(diǎn)腳本--截取信用

黑客向網(wǎng)站輸入惡意代碼，在目標(biāo)服務(wù)器上運(yùn)行一段看上去無(wú)害的錯(cuò)誤的腳本程序會(huì)使黑客能夠完全訪問所獲取的文檔，服務(wù)器甚至有可能向黑客傳送頁(yè)面中的數(shù)據(jù)。

6. 后門和debug選項(xiàng)--入侵

程序員經(jīng)常在網(wǎng)站正式運(yùn)轉(zhuǎn)前在程序中留下調(diào)試選項(xiàng)。有時(shí)由于匆忙，他們忘記了閉這些漏洞，使黑客能夠自由地訪問敏感信息。

7. 強(qiáng)制瀏覽--強(qiáng)行侵入

通過改變程序流程，黑客能夠?qū)φＧ闆r下無(wú)法獲得的信息和程序的某些部分進(jìn)行訪問，如日志文件、管理工具以及web應(yīng)用程序的源碼。

8. 潛入指令--秘密武器

黑客們常常通過木馬植入危險(xiǎn)的指令，通過運(yùn)行惡意或未經(jīng)授權(quán)的指令來(lái)破壞網(wǎng)站。

9. 第三方的錯(cuò)誤設(shè)置--弱化網(wǎng)站

一旦漏洞在公共網(wǎng)站上被公布和修正(比如Securityfocus)，黑客就會(huì)獲知這些新的安全漏洞。例如，通過一個(gè)設(shè)置錯(cuò)誤，黑客就可以建立一個(gè)新數(shù)據(jù)庫(kù)以避免使用在該網(wǎng)站上不能奏效的入侵方法。

10. 已知漏洞--控制站點(diǎn)

各網(wǎng)站所使用的某些技術(shù)有一些固有的缺陷，這樣就會(huì)被某個(gè)執(zhí)著的黑客利用。舉例來(lái)說(shuō)，微軟的ASP技術(shù)可以被用來(lái)獲取管理員口令進(jìn)而控制整個(gè)網(wǎng)站。