当前位置:首页 >> 互联网 >> 2008年5月12日
[ 关键词:安全 原文/来源链接 ]
新一代网页应用须注意的安全危机
Web 2.0融合Web Services、RIA、SOAP、JavaScript、XML等技术,强调高度互动与多人协同创作等概念,又大规模地带动新的网页形态产生。架构复杂,而且技术之间互相援引,关连性很强。
Web 2.0 Hacking
Web 2.0兴起,所衍生的入侵行为与恶意程式程式码
恶意程式码从病毒、蠕虫、间谍程式至网页挂马,再加上架设伪冒网站企图诈骗帐号、密码与网路银行资讯的网路钓鱼,也许我们都以为,可以用既有的防毒、IPS、网页过滤方式去控制。然而,Web 2.0融合Web Services、RIA、SOAP、JavaScript、XML等技术,强调高度互动与多人协同创作等概念,又大规模地带动新的网页形态产生。架构复杂,而且技术之间互相援引,关连性很强。
在当前的网页环境中,威胁的面貌、破坏性与目的也不像过去硬走偏锋,却也越来越难以辨识,例如有些蠕虫擅自更改使用者在网站的个人资料,目的只是为了在MySpace上面结交更多网友,而有的则设法潜入、复制到许多Yahoo使用者的网页电子邮件通讯录中。个人端在执行各网站上的JavaScript也变得很危险,例如在个人端电脑的浏览器偷偷执行恶意VBScript、JavaScript。
此外,资料来源的可信度无法持续验证、RSS Feeds也可能遭到窜改,因为使用者帐号逐渐走向单一登入的关系,帐号有效性与登入状态的操弄也成为许多入侵者的目标,一些桌面小工具或元件,使用上也有不够安全的问题。
有人说,Web 2.0只是把攻击行为换了新的载具而已,不过也有人提醒,攻击对象和漏洞发生的地方已不再是应用伺服器,个人端也难以幸免;而且XSS攻击依然猖獗,CSRF攻击更是防不胜防,使得安全控管与验证可能会被略过、无法发挥作用。
Cross-Site Scripting,XSS
跨站指令码攻击、跨网站脚本攻击
是指Web应用程式没有好好管制使用者,防止恶意程式码「注入」网页。例如未妥善过滤特殊字元,或未适当转换浏览者输入的字元,加上由浏览器本身所致。
一旦攻击者有办法利用该网站的跨站指令码漏洞,就可以绕过原有的存取控制。这种漏洞的主因是能直接将使用者本身发出的执行请求,回送至原来的浏览器执行,使得攻击者可趁机撷取使用者的Cookie或Session资料。
Malicious File Execution
恶意档案执行
Web应用程式将外部的恶意档案引入,同时趁机执行档案的内容。简单地说,有人先将恶意程式码或恶意网页的连结植入网页,让浏览该页面的使用者遭受攻击,这台电脑可能因此成为傀儡,帮入侵者收集帐号、密码。
因为有些网页程式在执行时,允许从远端夹带其他档案,使得攻击者可以借机夹藏恶意的程式码与资料,造成破坏。整台伺服器很可能因此受损。
Backdooring Media Files
成为后门程式的多媒体档
利用特定多媒体档案的指令码执行能力,引发安全性漏洞,例如Flash、QuickTime、PDF档。不过最近后门程式针对的目标更多了,例如已经有人针对MP3这个格式实作出概念验证性的程式码。
例如,QuickTime player 3.×版到7.×版一直都存在的不安全功能──Text Tracks中的HREF Tracks,它可用来开启FTP、HTTP、HTTPS的网址,并且支援JavaScript协定。
Web 2.0 Hacking
Web 2.0兴起,所衍生的入侵行为与恶意程式程式码
恶意程式码从病毒、蠕虫、间谍程式至网页挂马,再加上架设伪冒网站企图诈骗帐号、密码与网路银行资讯的网路钓鱼,也许我们都以为,可以用既有的防毒、IPS、网页过滤方式去控制。然而,Web 2.0融合Web Services、RIA、SOAP、JavaScript、XML等技术,强调高度互动与多人协同创作等概念,又大规模地带动新的网页形态产生。架构复杂,而且技术之间互相援引,关连性很强。
在当前的网页环境中,威胁的面貌、破坏性与目的也不像过去硬走偏锋,却也越来越难以辨识,例如有些蠕虫擅自更改使用者在网站的个人资料,目的只是为了在MySpace上面结交更多网友,而有的则设法潜入、复制到许多Yahoo使用者的网页电子邮件通讯录中。个人端在执行各网站上的JavaScript也变得很危险,例如在个人端电脑的浏览器偷偷执行恶意VBScript、JavaScript。
此外,资料来源的可信度无法持续验证、RSS Feeds也可能遭到窜改,因为使用者帐号逐渐走向单一登入的关系,帐号有效性与登入状态的操弄也成为许多入侵者的目标,一些桌面小工具或元件,使用上也有不够安全的问题。
有人说,Web 2.0只是把攻击行为换了新的载具而已,不过也有人提醒,攻击对象和漏洞发生的地方已不再是应用伺服器,个人端也难以幸免;而且XSS攻击依然猖獗,CSRF攻击更是防不胜防,使得安全控管与验证可能会被略过、无法发挥作用。
Cross-Site Scripting,XSS
跨站指令码攻击、跨网站脚本攻击
是指Web应用程式没有好好管制使用者,防止恶意程式码「注入」网页。例如未妥善过滤特殊字元,或未适当转换浏览者输入的字元,加上由浏览器本身所致。
一旦攻击者有办法利用该网站的跨站指令码漏洞,就可以绕过原有的存取控制。这种漏洞的主因是能直接将使用者本身发出的执行请求,回送至原来的浏览器执行,使得攻击者可趁机撷取使用者的Cookie或Session资料。
Malicious File Execution
恶意档案执行
Web应用程式将外部的恶意档案引入,同时趁机执行档案的内容。简单地说,有人先将恶意程式码或恶意网页的连结植入网页,让浏览该页面的使用者遭受攻击,这台电脑可能因此成为傀儡,帮入侵者收集帐号、密码。
因为有些网页程式在执行时,允许从远端夹带其他档案,使得攻击者可以借机夹藏恶意的程式码与资料,造成破坏。整台伺服器很可能因此受损。
Backdooring Media Files
成为后门程式的多媒体档
利用特定多媒体档案的指令码执行能力,引发安全性漏洞,例如Flash、QuickTime、PDF档。不过最近后门程式针对的目标更多了,例如已经有人针对MP3这个格式实作出概念验证性的程式码。
例如,QuickTime player 3.×版到7.×版一直都存在的不安全功能──Text Tracks中的HREF Tracks,它可用来开启FTP、HTTP、HTTPS的网址,并且支援JavaScript协定。
[ 关键词:安全 原文/来源链接 ]
