为纳斯达克把脉

　　反观纳斯达克的Web安全隐患，梭子鱼发现即使是纳斯达克这样技术精良的网站，依旧存在不少风险。对于十种黑客惯用的应用程序漏洞，纳斯达克网站的防护能力也非常薄弱。

　　第一，缓存溢出。 由于应用程序的编码会尝试将应用数据存储于缓存中，而不是正常的分配，这种漏洞往往被黑客所利用，变为攻击手段。因为借助这种错误，恶意代码就可以溢出到另外一个缓存中去执行。

　　第二.跨站点脚本攻击。攻击类型的代码数据可以被插入到另外一个可信任区域的数据中，最终导致使用可信任的身份来执行攻击，这种攻击方式也是黑客惯用的伎俩。

　　第三，服务拒绝攻击。这种攻击会导致服务没有能力为正常业务提供服务。

　　第四，异常错误处理的风险。当错误发生时，系统向用户提交错误提示是很正常的事情，但是如果提交的错误提示中包含了太多的内容，就有可能会被攻击者分析出网络环境的结构或配置。

　　第五，非法session ID。当session ID没有被正常使用时，攻击者还可以借机破坏Web会话，并且实施多个攻击(通过冒用其他的可信任的凭证)，借此来绕开认证机制。

　　第六，命令注入。这一问题的风险是，如果系统没有成功的阻止带有语法含义的输入内容，就有可能导致对数据库信息的非法访问。比如，在Web表单中输入的内容(SQL语句)，应该保持简单，并且不应该还有可被执行的代码内容。

　　第七.弱认证机制的隐患。虽然只要通过正确的开发Web应用就可以轻而易举的避免此问题，但是在众多已经在线使用的应用中，这类问题却十分严重。而一旦黑客利用弱认证机制或者未加密的数据来获得访问，或是破坏、控制数据，就会造成非常严重的影响。

　　第八，未受保护的参数传递风险。由于利用统一资源标识符(URL)和隐藏的HTML标记可以传递参数给浏览器，所以浏览器在将HTML传回给服务器之前，是不会修改这些参数的。利用这一破绽的黑客工具现在也比比皆是。

　　第九，不安全的存储 - 对于Web应用程序来说，妥善的保存密码，用户名，以及其它与身份验证有关的信息是非常重要的工作。对这些信息进行加密才是最有效的方法。然而，在实际操作过程中。大多企业却总是采用那些未经实践验证的加密解决方案，这些方案本身就充满了漏洞。

　　第十，非法输入。在数据被输入程序前忽略对数据合法性的检验，是一个常见的编程漏洞。在对Web应用程序脆弱性的调查中，非法输入问题已经成为大多数Web应用程序的最典型漏洞之一。