当企业用户们听说了太多的关于个人数据被窃的故事之后,网络安全已成为企业用户们考虑的头等大事,但是网络开发商却忽视了安全漏洞给用户带来的危险。

    IT顾问Joel Snyder说:“他们完全忽略了安全问题。当你去找你的网站设计师时,你要找的实际上是那些可以建立有趣网站的具有创新意识的人。有趣是第一位的,可能排在第九位的应考虑因素才是网站必须是一个安全的网站。”

    他说,大的问题是设计师们不会在网络应用软件之间建立保护机制来分割和验证系统各部分之间移动的数据。

    Forrester公司高级分析师Khalid Kark说,安全通常是网站建好之后才会考虑到的事,一般人很少在建站之前考虑它。

    Kark说:“我认为,大部分网站都是可被攻破的。问题的症结在于设计师们在建站的时候没有考虑过安全问题。”

    这是个大问题,也是非赢利性组织Open Web Application Security Project(OWASP )试图解决的问题之一。OWASP组织在今年发布了一篇名为《十大关键的网络应用软件安全漏洞》的报告,提高了网络开发员们对安全问题的严重性的认识。

    这份报告第一版的清单是在2004年发布的,但是OWASP组织的主席Jeff Williams说,网络安全的重要性已经提高了。各种新技术,比如AJAX和Rich Internet Applications等能够让网站看起来更好看,但是也给黑客们留下了更多借以攻击的漏洞。然而,要想说服商业公司的老总们,让他们明白他们的网站是不安全的也并不是一件容易的事。

    Aspect Security公司的首席执行官、联合创始人Williams说:“这真是让人泄气,因为这些漏洞很容易找到,也很容易被利用。它像秃子头上的苍蝇一样醒目。”

    本文归纳了OWASP组织提出的前十大网络漏洞,包括对每个问题的描述、真实案例以及如何修复它们。

1、跨站脚本(XSS)

    ■ 问题:XSS漏洞是普遍和致命的网络应用软件安全漏洞,当一款应用软件将用户数据发送到不带认证或者不对内容进行编码的网络浏览器时容易发生。黑客可以利用浏览器中的恶意脚本获得用户的数据,破坏网站,插入有害内容,以及展开钓鱼式攻击和恶意攻击。

    ■ 真实案例:恶意攻击者去年针对Paypal发起了攻击,他们将Paypal用户重新引导到另一个恶意网站并警告用户,他们的账户已经失窃。用户们被引导到另一个钓鱼式网站上,然后输入自己的Paypal登录信息、社会保险号和信用卡资料。Paypal公司称,它在2006年6月修复了那个漏洞。

    ■ 如何保护用户:利用一个白名单来验证接到的所有数据,来自白名单之外的数据一律拦截。另外,还可以对所有接收到的数据进行编码。OWASP说:“验证机制可以检测攻击,编码则可以防止其他恶意攻击者在浏览器上运行的内容中插入其他脚本。”

2、注入漏洞

    ■ 问题:当用户提供的数据被作为指令的一部分发送到转换器(将文本指令转换成可执行的机器指令)的时候,黑客会欺骗转换器。攻击者可以利用注入漏洞创建、读取、更新或者删除应用软件上的任意数据。在坏的情况下,攻击者可以利用这些漏洞完全控制应用软件和底层系统,甚至绕过系统底层的防火墙。

    ■ 真实案例:俄罗斯黑客在2006年1月份攻破了美国罗得岛政府网站,窃取了大量信用卡资料。黑客们声称SQL注入攻击窃取了5.3万个信用卡账号,而主机服务供应商则声称只被窃取了4113个信用卡账号。

    ■ 如何保护用户:尽可能不要使用转换器。OWASP组织说:“如果你必须使用转换器,那么,避免遭受注入攻击的好方法是使用安全的API,比如参数化指令和对象关系映射库。”

3、恶意文件执行

    ■ 问题:黑客们可以远程执行代码、远程安装rootkits工具或者完全攻破一个系统。任何一款接受来自用户的文件名或者文件的网络应用软件都是存在漏洞的。漏洞可能是用PHP语言写的,PHP是网络开发过程中应用普遍的一种脚本语言。

    ■ 真实案例:一位青少年程序员在2002年发现了Guess.com网站是存在漏洞的,攻击者可以从Guess数据库中窃取20万个客户的资料,包括用户名、信用卡号和有效期等。Guess公司在次年受到联邦贸易委员会调查之后,同意升级其安全系统。

    ■ 如何保护用户:不要将用户提供的任何文件写入基于服务器的资源,比如镜像和脚本等。设定防火墙规则,防止外部网站与内部系统之间建立任何新的连接。