为纳斯达克把脉
反观纳斯达克的Web安全隐患,梭子鱼发现即使是纳斯达克这样技术精良的网站,依旧存在不少风险。对于十种黑客惯用的应用程序漏洞,纳斯达克网站的防护能力也非常薄弱。
第一,缓存溢出。 由于应用程序的编码会尝试将应用数据存储于缓存中,而不是正常的分配,这种漏洞往往被黑客所利用,变为攻击手段。因为借助这种错误,恶意代码就可以溢出到另外一个缓存中去执行。
第二.跨站点脚本攻击。攻击类型的代码数据可以被插入到另外一个可信任区域的数据中,最终导致使用可信任的身份来执行攻击,这种攻击方式也是黑客惯用的伎俩。
第三,服务拒绝攻击。这种攻击会导致服务没有能力为正常业务提供服务。
第四,异常错误处理的风险。当错误发生时,系统向用户提交错误提示是很正常的事情,但是如果提交的错误提示中包含了太多的内容,就有可能会被攻击者分析出网络环境的结构或配置。
第五,非法session ID。当session ID没有被正常使用时,攻击者还可以借机破坏Web会话,并且实施多个攻击(通过冒用其他的可信任的凭证),借此来绕开认证机制。
第六,命令注入。这一问题的风险是,如果系统没有成功的阻止带有语法含义的输入内容,就有可能导致对数据库信息的非法访问。比如,在Web表单中输入的内容(SQL语句),应该保持简单,并且不应该还有可被执行的代码内容。
第七.弱认证机制的隐患。虽然只要通过正确的开发Web应用就可以轻而易举的避免此问题,但是在众多已经在线使用的应用中,这类问题却十分严重。而一旦黑客利用弱认证机制或者未加密的数据来获得访问,或是破坏、控制数据,就会造成非常严重的影响。
第八,未受保护的参数传递风险。由于利用统一资源标识符(URL)和隐藏的HTML标记可以传递参数给浏览器,所以浏览器在将HTML传回给服务器之前,是不会修改这些参数的。利用这一破绽的黑客工具现在也比比皆是。
第九,不安全的存储 - 对于Web应用程序来说,妥善的保存密码,用户名,以及其它与身份验证有关的信息是非常重要的工作。对这些信息进行加密才是最有效的方法。然而,在实际操作过程中。大多企业却总是采用那些未经实践验证的加密解决方案,这些方案本身就充满了漏洞。
第十,非法输入。在数据被输入程序前忽略对数据合法性的检验,是一个常见的编程漏洞。在对Web应用程序脆弱性的调查中,非法输入问题已经成为大多数Web应用程序的最典型漏洞之一。