| 首页 产品介绍 热点讨论 历史回顾 资料下载 相关推荐 | 使用 Rational AppScan 保证Web应用的安全性
两个重要的国际应用安全组织
在讨论常见的Web应用攻击之前,我们需要先了解两个组织: WASC 和 OWASP 。这两个组织在呼吁企业加强应用安全意识和指导企业开发安全的Web应用方面,起到了重要的作用。
Web Application Security Consortium (WASC),是一个由安全专家、行业顾问和诸多组织的代表组成的国际团体。他们负责为 WWW 制定被广为接受的应用安全标准。 WASC 组织的关键项目之一是 “Web 安全威胁分类 ” ,也就是将Web应用所受到的威胁、攻击进行说明并归纳成具有共同特征的分类。该项目的目的是针对Web应用的安全隐患,制定和推广行业标准术语。 WASC 将Web应用安全威胁分为如下六类:
Authentication (验证) 用来确认某用户、服务或是应用身份的攻击手段。
Authorization (授权) 用来决定是否某用户、服务或是应用具有执行请求动作必要权限的攻击手段。
Client-Side Attacks (客户侧攻击) 用来扰乱或是探测Web站点用户的攻击手段。
Command Execution (命令执行) 在Web站点上执行远程命令的攻击手段。
Information Disclosure (信息暴露) 用来获取Web站点具体系统信息的攻击手段。
Logical Attacks (逻辑性攻击) 用来扰乱或是探测Web应用逻辑流程的攻击手段。 可以通过如下的网址访问该组织网站,获得更多详细信息: www.webappsec.org 。也可以通过 参考资料 中链接,具体了解 “Web 安全威胁分类 ” 项目。
OpenWebApplication Security Project (OWASP),该组织致力于发现和解决不安全Web应用的根本原因。它们最重要的项目之一是 “Web 应用的十大安全隐患 ” ,总结了目前Web应用最常受到的十种攻击手段,并且按照攻击发生的概率进行了排序。这个项目的目的是统一业界最关键的Web应用安全隐患,并且加强企业对Web应用安全的意识。
可以通过如下的网址访问该组织,了解更为详细的信息: www.owasp.org 。也可以通过 参考资料 中链接,具体了解 “Web 应用十大安全隐患 ” 项目。
IBM Rational ,是上述两个组织的成员。
在 OWASP 组织列举的十大Web应用安全隐患中,有两个概率最高的攻击手段,它们分别是 “ 跨站点脚本攻击 ” (Cross-Site Scripting)和 “ 注入缺陷 ” (Injection Flaws)。下面将通过举例来说明这两种攻击是如何实施的。
1 、 跨站点脚本攻击 首先来看一下跨站点脚本的利用过程,如图 4 。
图 4: 跨站点脚本攻击的过程 在上图中,恶意攻击者(这里使用 Evil.org 表示)通过 E-mail 或 HTTP 将某银行的网址链接发给用户(银行用 bank.com 表示),该链接中附加了恶意的脚本(上图步骤一);用户访问发来的链接,进入银行网站,同时,嵌在链接中的脚本被用户的浏览器执行(上图步骤二、三);用户在银行网站的所有操作,包括用户的 cookie 和 session 信息,都被脚本收集到,并且在用户毫不知情的情况下发送给恶意攻击者(上图步骤四);恶意攻击者使用偷来的 session 信息,伪装成该用户,进入银行网站,进行非法活动(上图步骤五)。
因此,只要Web应用中,有可被恶意攻击者利用执行脚本的地方,都存在极大的安全隐患。黑客们如果可以让用户执行他们提供的脚本,就可以从用户正在浏览的域中偷到他的个人信息、可以完全修改用户看到的页面内容、跟踪用户在浏览器中的每一个动作,甚至利用用户浏览器的缺陷完全控制用户的机器。 目前,跨站点脚本攻击是最大的安全风险。
原文地址:http://www.ibm.com/vrm/newsletter_10104_2516_57211_email_DYN_1IN/xchen94266440
|
进一步购买意向
