在近日發布的2007年十大Web安全漏洞中,利用網頁及cookies寫作漏洞的跨站腳本攻擊(XSS)登上首位。
上周疑似使微軟英國網站被駭的隱碼攻擊(Injection Flaw,包括SQL Injection及Command Injection)居次,第三位則是Web應用程序引入外部惡意程序的惡意文件執行攻擊(Malicious File Execution)。
在Web 2.0流行風潮下,新的網頁應用程序開發與相關技術(如AJAX)的應用,成為網站欲出奇致勝的重點,但在網站經營者爭相提供創新網頁服務的情況下,網頁應用程序的安全性也成為新的問題。
趨勢科技臺灣技術顧問簡勝財便指出,包括跨站腳本攻擊與數據隱碼攻擊等上榜漏洞,多半都是因網頁應用程序寫作不當,才產生讓黑客得以入侵的漏洞.
他認為,網頁應用程序開發人員多半缺乏安全相關訓練,導致開發出的程序可能存在漏洞,導致黑客得以入侵網頁,進而竄改網頁、植入惡意程序,或偷取數據,他認為,企業網頁開發人員進行網頁程序開發時,應更嚴謹,避免類似事件再次發生。
他并以6月底發生在意大利等歐洲國家,萬余網站遭入侵的事件為例解釋,黑客已可利用特殊工具包(toolkit),主動搜索網站漏洞,進而入侵、竄改網頁內容,甚至造成大規模網災,提醒網頁應用漏洞的普遍性,以及一旦遭黑客利用所可能造成的嚴重后果。
廠商則建議企業采用網頁應用防護設備設備來檢測網站漏洞。
例如阿碼科技(Armorize Technologies)即推出網頁應用程序原始碼檢測器CodeSecure Verifier,以自動靜態分析(Automated Static Analysis)技術,提供網頁應用程序開發人員從開發過程到上線后的開發生命周期的原始程序代碼分析。
至于NetContinuum、F5與Check Point等廠商,則是推出網頁應用防火墻(Web Application Firewall),或將其功能整并入如UTM等網絡安全硬件中,以阻隔針對網頁應用而來的攻擊的方式,達到保護網頁應用安全性的目標。
2007十大Web安全漏洞第四至第十名分別為:
應用程序可任意訪問文件的Insecure Direct Object Reference
讓合法使用者執行惡意程序指令卻可能被允許的Cross-Site Request Forgery(CSRF)
錯誤信息泄露機密數據的Information Leakage and Improper Error Handling
身份驗證功能缺陷的Broken Authentication and Session Management
敏感數據加密不安全或無加密的Insecure Cryptographic Storage
傳輸數據未加密Insecure Communication
以及因無權限控制導致可直接存取數據的Failure to Restrict URL Access。
