前Yahoo安全主管:9成网站都有商业逻辑漏洞
2007-10-19 10:01
405 查看
OWASP(开放网络软件安全组织)日前在台湾举办第一届官方亚洲年会,针对许多Web以及Web应用程序安全发表相关演说。其中,前Yahoo资安长Jeremiah Grossman首度发表商业逻辑漏洞(Business Logic Flaws)演说,直指这种商业逻辑漏洞将使得企业网站陷入危机,一个不注意可能导致企业营收损失。
Jeremiah Grossman是白帽(WhiteHat Security)安全资安顾问公司创办人兼技术长,也是美国黑帽(Black Hat)和DefCon黑客年会讲师。他从许多的资安事件发生的原因,归纳出一个对企业资安的威胁型态:商业逻辑漏洞。
在线拍卖造成可能的商业逻辑漏洞
商业逻辑漏洞其实就是,一般商业逻辑流程过程中,所出现的技术漏洞。曾经当过雅虎资安长的Jeremiah Grossman说:「在线拍卖就是一个常见的商业逻辑漏洞的案例。」
他进一步解释,在线购物网站为了避免黑客以暴力手法找出用户的密码,通常会在密码输入错误数次之后即锁定该账户。有心的黑客若要抢标,就可以利用这个逻辑上的漏洞来死锁其他竞标者,黑客只要以其他竞标者的账号,连续输入错误的密码来造成该帐户被系统死锁,再趁机抢标。
商业逻辑漏洞发生可能性广泛
这样的商业逻辑漏洞也发生在常见的密码恢复认证机制上。Jeremiah Grossman指出,有许多Web服务机制为了降低解决用户忘记密码的困扰,并降低解决这类问题的成本,会设立所谓的安全问题,藉由回答安全性问题取得用户密码。不过,便曾经发生设定安全性问题时,其答案选项固定,尝试几次就会猜到。例如,安全性问题是最喜欢的颜色为何?但选项若指有红、黑、白等3个答案时,尝试几次错误之后,就可以破解了。
另外,美国也有一些专业的产业媒体报导,为了怕影响股价,会在一定日期过后才能公开给特定的授权对象。Jeremiah Grossman说,这些文章其实老早就被上传到网络服务器上,等时间到才开放。但就有人发现每一篇文章的网址包含日期数字,具有规则性,透过猜出刊日期与文章数字的方式,轻易拆解出未公开文章的网址,并趁机获利上百万美元。
除了在线拍卖可能面临这种商业逻辑漏洞外,同样的方式也发生在交互式网络电视台、苹果MacWorld与Steve Jobs有约、在线游戏、在线***等商业流程中。
9成网站具有商业逻辑漏洞
Jeremiah Grossman表示,不论是信用卡事务数据传输,或者是密码复原,就是一般常见以Web为主的商业逻辑流程,这其中所有的技术弱点,都会是黑客专注攻击的目标。根据白帽安全资安顾问公司的统计,在扫描将近1,000个网站中,将近9成网站,具有商业逻辑流程的技术弱点。
企业使用Web应用程序的比例越来越高,Jeremiah Grossman表示,不论这些Web应用程序是客制化或者是由第三方厂商提供,大多经过良好的质量控管检测,加上这些可能的商业逻辑漏洞,也很难透过IDS(入侵检测系统)定义出缺陷、漏洞在哪,网络应用程序防火墙也很难抵抗这样缺陷、漏洞的发生。简而言之,就目前所有的防御工具而言,对于这种商业逻辑流程中所造成的技术漏洞,尚不能透过工具进行有效防御措施。
纵深防御是商业逻辑漏洞最好的预防之道
面对这种商业逻辑漏洞该怎么解决?Jeremiah Grossman表示,除了避免将用户账号、密码留存在网络上,容易被有心人追查相关隐私外,也建议在密码错误次数太多被封锁时,可以加上输入图片上数字的CAPTCHA 系统,以避免机器人暴力拆解密码的可能性。
由于这种商业逻辑漏洞问题的出现,往往不是程序本身有大的疏漏,Jeremiah Grossman表示,通常是在配合企业营运流程上的某一个关键点上的疏漏。所以,这样的缺陷、漏洞,也无法透过常见的IDS(入侵检测防御系统)等工具检查出来。
但Jeremiah Grossman说,还是有一些基本的预防之道。这种商业逻辑漏洞流量并未异常,因此很难藉由基本的网络应用程序防火墙、弱点扫描、安全的设定等方式,做到防护。但从最佳实务的角度来看,至少两名资安专家,佐以自动化的扫描工具,程序开发符合SDLC(软件开发生命周期),做到纵深防御,有助于发现商业逻辑漏洞。
另外,Jeremiah Grossman也建议,企业可做到资产追踪、安全度量以及符合开发框架等,也都是有效解决商业逻辑漏洞的方式
SaaS将是未来资安部署的最佳选择
Jeremiah Grossman表示,自动化扫描工具将有助于企业检视商业逻辑漏洞的资安威胁。而此次同样来台湾参加OWASP亚洲年会的Qualys首席资安研究员Mike Shema则指出,SaaS已经是目前自动化扫描工具的基本型态,企业可以透过SaaS部署企业资安软件。
Mike Shema表示,几年前美国企业对于SaaS(软件即服务)的作法还不信任,对于数据不存放在自家公司感到疑虑,但现在,美国企业已经理解到:问题不在数据放哪里,而是数据本身是否够安全。他说,也因为美国企业开始有足够的信任,许多提供自动扫描服务功能的资安公司,例如提供Port Scan的Qualys,都以SaaS方式提供企业客户相关的服务。
白帽(WhiteHat Security)安全资安顾问公司则在多年前便提供网络扫描的服务,也是以SaaS方式提供给企业。Jeremiah Grossman则是从这样的扫描结果,观察出商业逻辑漏洞的资安威胁。
Mike Shema说,对于提供自动化扫描服务,企业对于SaaS接受度很高,加上目前许多资安服务不涉及企业内数据存放,随着企业Web应用程序应用越来越普及,企业对于SaaS的资安服务需求将越高。文⊙黄彦棻
Jeremiah Grossman是白帽(WhiteHat Security)安全资安顾问公司创办人兼技术长,也是美国黑帽(Black Hat)和DefCon黑客年会讲师。他从许多的资安事件发生的原因,归纳出一个对企业资安的威胁型态:商业逻辑漏洞。
在线拍卖造成可能的商业逻辑漏洞
商业逻辑漏洞其实就是,一般商业逻辑流程过程中,所出现的技术漏洞。曾经当过雅虎资安长的Jeremiah Grossman说:「在线拍卖就是一个常见的商业逻辑漏洞的案例。」
他进一步解释,在线购物网站为了避免黑客以暴力手法找出用户的密码,通常会在密码输入错误数次之后即锁定该账户。有心的黑客若要抢标,就可以利用这个逻辑上的漏洞来死锁其他竞标者,黑客只要以其他竞标者的账号,连续输入错误的密码来造成该帐户被系统死锁,再趁机抢标。
商业逻辑漏洞发生可能性广泛
这样的商业逻辑漏洞也发生在常见的密码恢复认证机制上。Jeremiah Grossman指出,有许多Web服务机制为了降低解决用户忘记密码的困扰,并降低解决这类问题的成本,会设立所谓的安全问题,藉由回答安全性问题取得用户密码。不过,便曾经发生设定安全性问题时,其答案选项固定,尝试几次就会猜到。例如,安全性问题是最喜欢的颜色为何?但选项若指有红、黑、白等3个答案时,尝试几次错误之后,就可以破解了。
另外,美国也有一些专业的产业媒体报导,为了怕影响股价,会在一定日期过后才能公开给特定的授权对象。Jeremiah Grossman说,这些文章其实老早就被上传到网络服务器上,等时间到才开放。但就有人发现每一篇文章的网址包含日期数字,具有规则性,透过猜出刊日期与文章数字的方式,轻易拆解出未公开文章的网址,并趁机获利上百万美元。
除了在线拍卖可能面临这种商业逻辑漏洞外,同样的方式也发生在交互式网络电视台、苹果MacWorld与Steve Jobs有约、在线游戏、在线***等商业流程中。
9成网站具有商业逻辑漏洞
Jeremiah Grossman表示,不论是信用卡事务数据传输,或者是密码复原,就是一般常见以Web为主的商业逻辑流程,这其中所有的技术弱点,都会是黑客专注攻击的目标。根据白帽安全资安顾问公司的统计,在扫描将近1,000个网站中,将近9成网站,具有商业逻辑流程的技术弱点。
企业使用Web应用程序的比例越来越高,Jeremiah Grossman表示,不论这些Web应用程序是客制化或者是由第三方厂商提供,大多经过良好的质量控管检测,加上这些可能的商业逻辑漏洞,也很难透过IDS(入侵检测系统)定义出缺陷、漏洞在哪,网络应用程序防火墙也很难抵抗这样缺陷、漏洞的发生。简而言之,就目前所有的防御工具而言,对于这种商业逻辑流程中所造成的技术漏洞,尚不能透过工具进行有效防御措施。
纵深防御是商业逻辑漏洞最好的预防之道
面对这种商业逻辑漏洞该怎么解决?Jeremiah Grossman表示,除了避免将用户账号、密码留存在网络上,容易被有心人追查相关隐私外,也建议在密码错误次数太多被封锁时,可以加上输入图片上数字的CAPTCHA 系统,以避免机器人暴力拆解密码的可能性。
由于这种商业逻辑漏洞问题的出现,往往不是程序本身有大的疏漏,Jeremiah Grossman表示,通常是在配合企业营运流程上的某一个关键点上的疏漏。所以,这样的缺陷、漏洞,也无法透过常见的IDS(入侵检测防御系统)等工具检查出来。
但Jeremiah Grossman说,还是有一些基本的预防之道。这种商业逻辑漏洞流量并未异常,因此很难藉由基本的网络应用程序防火墙、弱点扫描、安全的设定等方式,做到防护。但从最佳实务的角度来看,至少两名资安专家,佐以自动化的扫描工具,程序开发符合SDLC(软件开发生命周期),做到纵深防御,有助于发现商业逻辑漏洞。
另外,Jeremiah Grossman也建议,企业可做到资产追踪、安全度量以及符合开发框架等,也都是有效解决商业逻辑漏洞的方式
SaaS将是未来资安部署的最佳选择
Jeremiah Grossman表示,自动化扫描工具将有助于企业检视商业逻辑漏洞的资安威胁。而此次同样来台湾参加OWASP亚洲年会的Qualys首席资安研究员Mike Shema则指出,SaaS已经是目前自动化扫描工具的基本型态,企业可以透过SaaS部署企业资安软件。
Mike Shema表示,几年前美国企业对于SaaS(软件即服务)的作法还不信任,对于数据不存放在自家公司感到疑虑,但现在,美国企业已经理解到:问题不在数据放哪里,而是数据本身是否够安全。他说,也因为美国企业开始有足够的信任,许多提供自动扫描服务功能的资安公司,例如提供Port Scan的Qualys,都以SaaS方式提供企业客户相关的服务。
白帽(WhiteHat Security)安全资安顾问公司则在多年前便提供网络扫描的服务,也是以SaaS方式提供给企业。Jeremiah Grossman则是从这样的扫描结果,观察出商业逻辑漏洞的资安威胁。
Mike Shema说,对于提供自动化扫描服务,企业对于SaaS接受度很高,加上目前许多资安服务不涉及企业内数据存放,随着企业Web应用程序应用越来越普及,企业对于SaaS的资安服务需求将越高。文⊙黄彦棻
相关文章推荐
- 前Yahoo安全主管:9成网站都有商业逻辑漏洞
- 政府网站安全形式严峻,逾9成存在安全漏洞
- 从团购网的漏洞看网站安全性问题 -- 安全 -- IT技术博客大学习 -- 共学习 共进步!
- 如何使用Nikto漏洞扫描工具检测网站安全
- 网站安全之XSS漏洞攻击以及防范措施
- (收集)一些好用的漏洞库网站:含工控安全
- 网站安全FCKeditor的漏洞排查
- 利用Axis2默认口令安全漏洞可入侵WebService网站
- DEDECMS曝重大安全漏洞 百万网站受影响
- 关于安全漏洞的一个网站?
- 极度危险而常见的网站安全漏洞
- 网站安全之XSS漏洞攻击以及防范措施
- 云安全漏洞网站cloutage.org
- 360网站安全检测平台4月所爆DEDECMS高危漏洞的修复方案
- PHP网站常见安全漏洞,及相应防范措施总结
- OS X 签名规则改变并非苹果开发者网站安全漏洞
- 小记一次网站应用漏洞扫描--启动了不安全的HTTP方法(Insecure HTTP Method)及其解决方案
- 【每日安全资讯】新手上路 | 看我如何发现大疆公司网站的一个小漏洞
- 使用Nikto漏洞扫描工具检测网站安全
- Web 安全恩仇录:再谈逻辑漏洞