|
|
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有账号?注册
×
OWASP(开放网络软件安全组织)日前举办了第一届官方亚洲年会,针对许多Web以及Web应用程序安全发表相关演说。其中,前Yahoo资安长Jeremiah Grossman首度发表商业逻辑漏洞(Business Logic Flaws)演说,直指这种商业逻辑漏洞将使得企业网站陷入危机,一个不注意可能导致企业营收损失。 Jeremiah Grossman是白帽(WhiteHat Security)安全资安顾问公司创办人兼技术长,也是美国黑帽(Black Hat)和DefCon黑客年会讲师。他从许多的资安事件发生的原因,归纳出一个对企业资安的威胁型态:商业逻辑漏洞。2 B! i$ i5 j' b2 Z7 |
& M; [; y( i' P N" I
在线拍卖造成可能的商业逻辑漏洞
( P d* F" b) x: K! C' d& U" B" A: Y- u# E% Q+ A8 n
商业逻辑漏洞其实就是,一般商业逻辑流程过程中,所出现的技术漏洞。曾经当过雅虎资安长的Jeremiah Grossman说:“在线拍卖就是一个常见的商业逻辑漏洞的案例。”
3 n$ T6 Z; b: S# v2 H! }5 K# d/ m- j# {' X* t- ~: ^* M/ }$ Q1 z0 m
他进一步解释,在线购物网站为了避免黑客以暴力手法找出用户的密码,通常会在密码输入错误数次之后即锁定该账户。有心的黑客若要抢标,就可以利用这个逻辑上的漏洞来死锁其他竞标者,黑客只要以其他竞标者的账号,连续输入错误的密码来造成该帐户被系统死锁,再趁机抢标。 商业逻辑漏洞发生可能性广泛
: E1 P2 E' E2 O1 B% I9 @
9 ^! S- p* F1 n/ c5 ~ 这样的商业逻辑漏洞也发生在常见的密码恢复认证机制上。Jeremiah Grossman指出,有许多Web服务机制为了降低解决用户忘记密码的困扰,并降低解决这类问题的成本,会设立所谓的安全问题,藉由回答安全性问题取得用户密码。不过,便曾经发生设定安全性问题时,其答案选项固定,尝试几次就会猜到。例如,安全性问题是最喜欢的颜色为何?但选项若指有红、黑、白等3个答案时,尝试几次错误之后,就可以破解了。+ g7 d @. R n; H
, G ^0 p h" m9 N7 m* K9 a
另外,美国也有一些专业的产业媒体报导,为了怕影响股价,会在一定日期过后才能公开给特定的授权对象。Jeremiah Grossman说,这些文章其实老早就被上传到网络服务器上,等时间到才开放。但就有人发现每一篇文章的网址包含日期数字,具有规则性,透过猜出刊日期与文章数字的方式,轻易拆解出未公开文章的网址,并趁机获利上百万美元。- p: f% I5 `8 _ d4 m" g
6 ?) K/ e6 ^2 ?" Z$ @2 E; H 除了在线拍卖可能面临这种商业逻辑漏洞外,同样的方式也发生在交互式网络电视台、苹果MacWorld与Steve Jobs有约、在线游戏、在线赌博等商业流程中。 y1 C5 L0 s$ y' w5 {4 \2 Y
2 t. n( ?2 }& b0 P9 k 9成网站具有商业逻辑漏洞# R: i& O V1 Z, o6 \. o( Q* i7 d
# D/ _: C+ s' v3 [% z0 [1 G3 i
Jeremiah Grossman表示,不论是信用卡事务数据传输,或者是密码复原,就是一般常见以Web为主的商业逻辑流程,这其中所有的技术弱点,都会是黑客专注攻击的目标。根据白帽安全资安顾问公司的统计,在扫描将近1,000个网站中,将近9成网站,具有商业逻辑流程的技术弱点。
" C9 @5 p. Y. z
- n& c& D& ~6 J1 G 企业使用Web应用程序的比例越来越高,Jeremiah Grossman表示,不论这些Web应用程序是客制化或者是由第三方厂商提供,大多经过良好的质量控管检测,加上这些可能的商业逻辑漏洞,也很难透过IDS(入侵检测系统)定义出缺陷、漏洞在哪,网络应用程序防火墙也很难抵抗这样缺陷、漏洞的发生。简而言之,就目前所有的防御工具而言,对于这种商业逻辑流程中所造成的技术漏洞,尚不能透过工具进行有效防御措施。' X) ~, T+ H; ^$ o' D
. A+ x) Y$ [. f' [% B
|
|
IP卡
狗仔卡
发表于 2011 年 12 月 5 日 18:50:20
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
发表于 2011 年 12 月 5 日 18:55:56
