主页 > 经验 >
网站的九大敌人有哪些 千万别给Web应用漏洞可趁之机
网站的九大敌人有哪些 千万别给Web应用漏洞可趁之机 过去,网站的内容大多是静态的。随着HTML5的流行,Web应用进入一个崭新阶段,内容的动态化和实时共享让阻拦不良内容或恶意软件变得更加复杂,公司和个人的重要信息也被暴于极为危险的网络环境之下,对于网站安全建设来说,无异于在伤口上撒上了一把盐。
天融信曾在年初发表过一篇《网站安全建设指南》,里面分析了网站安全建设的思路和注意事项。面对越来越多的Web应用,网站安全建设仍然面临着种种困难。据Gartner 调查,信息安全攻击有75% 都是发生在Web 应用层而非网络层上。同时,2/3的Web站点都相当脆弱,易受攻击。可以说,绝大多数企业将大量的投资花费在网络和服务器的安全上,没有从真正意义上保证Web 业务本身的安全,才给了黑客可乘之机,让网站安全饱受威胁。根据天融信阿尔法实验室的分析,Web页面注入漏洞和跨站脚本漏洞等威胁,已经成为未来安全建设的最大挑战。
目前,基于Web的应用已经成为一道通往互联网的必经之门,其中浏览器好比一个盛满互联网五光十色的博大容器,当用户在打开探秘互联网的大门,在这个容器中享受饕餮大餐时,是否已经意识到自己已经身处危险之中?随着支持HTML5浏览器的不断增多,以Chrome、IE、Firefox、Safari、Opera为代表的现代浏览器让网站安全建设不断接受着安全挑战。下面,我们就来分析一下那些基于Web应用威胁网站安全的罪魁祸首,并借此希望在天融信《网站安全建设指南》的基础上,更全面的思索网站安全建设的思路。
网站敌人之一:URL地址栏欺骗
用户每天通过点击URL地址浏览互联网上百上千页面。浏览一个页面,其实就是简单的两个步骤:
1 鼠标移动到页面上想要去的URL地址链接,此时状态栏会显示URL链接的地址;
2 点击URL链接,浏览器页面会导航到你想去的页面,并且在地址栏中显示这个链接。
这个被用户看似最简单最普通的浏览页面的两个步骤,用户是否思考过以下四个问题:
(1)状态栏中显示的URL地址,是目标URL地址吗?
(2)地址栏中显示的URL地址,是目标URL地址吗?
(3)地址栏中显示的URL地址和导航后的页面对应吗?
(4)拖动URL地址到地址栏,会导航到目标URL地址吗?
我们带着这些问题往下看。从你点击到成功加载页面,就是短短的1秒钟时间,这1秒就足够进行URL地址栏欺骗了。
URL地址栏欺骗,可以分两类,一个是点击URL地址,一个是拖放URL地址。现代浏览器都可以使用onclick事件以及鼠标事件onmouseup,onmousedown来实现点击欺骗。其次,各个浏览器对URL编码解析的差异,也会导致欺骗的发生。另一方面,拖拽一个地址到地址栏的时候,我们可以使用拖放函数ondragstart和event.dataTransfer.setData方法,把拖放的地址内容替换掉,这样也就完成了欺骗。
网站敌人之二:URL状态栏欺骗
现代浏览器状态栏的设计方式,和以前比较起来有很大的变化。以前的状态栏是以一个浏览器独立模块固定在浏览器最下端的。而现代浏览器状态栏的设计方式则不同。
这种状态栏设计最明显的变化是,当你把鼠标放在链接上时,状态栏才会出现,鼠标离开时,状态栏将会消失。这样的呈现方式逻辑上会存在一个问题,最左下角的这块区域,既是状态栏显示区域又是页面显示区域。视觉上给我们的呈现效果就是状态栏在页面区域的左下角显示。因此我们就可以使用脚本模拟状态栏,进而实施状态栏欺骗。
那么现代浏览器状态栏这种有阴影有圆角的外形,从技术角度看是否能够用脚本实现?答案是肯定的。在CSS3中增加了圆角(box-shadow)和阴影(border-radius)的方法实现。未来如果出现类似于模块区域越界到页面的情况,我们同样可以使用脚本进行伪造欺骗。关于这种攻击方式,天融信公司通过与微软、谷歌、火狐的讨论,一致认为这确实是一个问题,但并不至于造成更大的安全风险,所以也暂时不想更改这种浏览器状态栏的处理方式。虽然浏览器厂商都没有明确表示这是一个漏洞,但Bugtraq还是收录了天融信阿尔法实验室发现的三个漏洞。
漏洞的信息如下:
Microsoft Internet Explorer CSS Handling Status Bar Spoofing Vulnerability
Bugtraq ID: 47547
Google Chrome CSS Handling Status Bar Spoofing Vulnerability
Bugtraq ID: 47548
Mozilla Firefox CSS Handling Status Bar Spoofing Vulnerability
Bugtraq ID: 47549
网站敌人之三:页面标签欺骗
浏览器从单页面,变成多页多窗口显示可以说是设计理念上的飞跃。现代浏览器都已经支持多窗口这种模式,而且在每一个窗口顶端都会有一个页面标签。当打开多个页面窗口时,页面标签上的logo和标题可以指引我们想要去的网站。
这种页面标签的指引方式,使得标签欺骗成为可能。这种欺骗方式最早是由国外安全人员提出,他们把这种欺骗称之为Tabnabbing。
现在来简单介绍一下,页面标签欺骗原理:
(1)用户打开很多网站页面窗口浏览器网站,这其中就包括攻击者制作的一个恶意攻击页面。
(2)当这个攻击页面检测用户不在浏览这个页面,也就是说长时间内失去了焦点。
(3)攻击页面自动篡改标签的logo,页面标题,和页面本身。比如全都改成Gmail的。
(4)当用户浏览了一圈,由于视觉欺骗,发现有Gmail的logo。而且通过上面的介绍我们知道,多页面多窗口的特点使得用户要寻找页面只能通过标签上的logo和标题去分辨。
(5)用户欣然的点开标签为Gmail的这个页面,进去后除了URL地址不是Gmail外,其他所有都是Gmail的内容。视觉上的盲区,再次使得用户可能忽略地址栏中的URL,下意识的认为这是一个正常的Gmail登录页面。进而进行登录操作,这样账户密码就被盗了,登录成功后再转向到真的Gmail页面。
以上五点就是页面标签欺骗的整个过程。现在Chrome、Firefox浏览器都会受到这种攻击的影响。
网站敌人之四:页面解析欺骗
天融信曾在年初发表过一篇《网站安全建设指南》,里面分析了网站安全建设的思路和注意事项。面对越来越多的Web应用,网站安全建设仍然面临着种种困难。据Gartner 调查,信息安全攻击有75% 都是发生在Web 应用层而非网络层上。同时,2/3的Web站点都相当脆弱,易受攻击。可以说,绝大多数企业将大量的投资花费在网络和服务器的安全上,没有从真正意义上保证Web 业务本身的安全,才给了黑客可乘之机,让网站安全饱受威胁。根据天融信阿尔法实验室的分析,Web页面注入漏洞和跨站脚本漏洞等威胁,已经成为未来安全建设的最大挑战。
目前,基于Web的应用已经成为一道通往互联网的必经之门,其中浏览器好比一个盛满互联网五光十色的博大容器,当用户在打开探秘互联网的大门,在这个容器中享受饕餮大餐时,是否已经意识到自己已经身处危险之中?随着支持HTML5浏览器的不断增多,以Chrome、IE、Firefox、Safari、Opera为代表的现代浏览器让网站安全建设不断接受着安全挑战。下面,我们就来分析一下那些基于Web应用威胁网站安全的罪魁祸首,并借此希望在天融信《网站安全建设指南》的基础上,更全面的思索网站安全建设的思路。
网站敌人之一:URL地址栏欺骗
用户每天通过点击URL地址浏览互联网上百上千页面。浏览一个页面,其实就是简单的两个步骤:
1 鼠标移动到页面上想要去的URL地址链接,此时状态栏会显示URL链接的地址;
2 点击URL链接,浏览器页面会导航到你想去的页面,并且在地址栏中显示这个链接。
这个被用户看似最简单最普通的浏览页面的两个步骤,用户是否思考过以下四个问题:
(1)状态栏中显示的URL地址,是目标URL地址吗?
(2)地址栏中显示的URL地址,是目标URL地址吗?
(3)地址栏中显示的URL地址和导航后的页面对应吗?
(4)拖动URL地址到地址栏,会导航到目标URL地址吗?
我们带着这些问题往下看。从你点击到成功加载页面,就是短短的1秒钟时间,这1秒就足够进行URL地址栏欺骗了。
URL地址栏欺骗,可以分两类,一个是点击URL地址,一个是拖放URL地址。现代浏览器都可以使用onclick事件以及鼠标事件onmouseup,onmousedown来实现点击欺骗。其次,各个浏览器对URL编码解析的差异,也会导致欺骗的发生。另一方面,拖拽一个地址到地址栏的时候,我们可以使用拖放函数ondragstart和event.dataTransfer.setData方法,把拖放的地址内容替换掉,这样也就完成了欺骗。
网站敌人之二:URL状态栏欺骗
现代浏览器状态栏的设计方式,和以前比较起来有很大的变化。以前的状态栏是以一个浏览器独立模块固定在浏览器最下端的。而现代浏览器状态栏的设计方式则不同。
这种状态栏设计最明显的变化是,当你把鼠标放在链接上时,状态栏才会出现,鼠标离开时,状态栏将会消失。这样的呈现方式逻辑上会存在一个问题,最左下角的这块区域,既是状态栏显示区域又是页面显示区域。视觉上给我们的呈现效果就是状态栏在页面区域的左下角显示。因此我们就可以使用脚本模拟状态栏,进而实施状态栏欺骗。
那么现代浏览器状态栏这种有阴影有圆角的外形,从技术角度看是否能够用脚本实现?答案是肯定的。在CSS3中增加了圆角(box-shadow)和阴影(border-radius)的方法实现。未来如果出现类似于模块区域越界到页面的情况,我们同样可以使用脚本进行伪造欺骗。关于这种攻击方式,天融信公司通过与微软、谷歌、火狐的讨论,一致认为这确实是一个问题,但并不至于造成更大的安全风险,所以也暂时不想更改这种浏览器状态栏的处理方式。虽然浏览器厂商都没有明确表示这是一个漏洞,但Bugtraq还是收录了天融信阿尔法实验室发现的三个漏洞。
漏洞的信息如下:
Microsoft Internet Explorer CSS Handling Status Bar Spoofing Vulnerability
Bugtraq ID: 47547
Google Chrome CSS Handling Status Bar Spoofing Vulnerability
Bugtraq ID: 47548
Mozilla Firefox CSS Handling Status Bar Spoofing Vulnerability
Bugtraq ID: 47549
网站敌人之三:页面标签欺骗
浏览器从单页面,变成多页多窗口显示可以说是设计理念上的飞跃。现代浏览器都已经支持多窗口这种模式,而且在每一个窗口顶端都会有一个页面标签。当打开多个页面窗口时,页面标签上的logo和标题可以指引我们想要去的网站。
这种页面标签的指引方式,使得标签欺骗成为可能。这种欺骗方式最早是由国外安全人员提出,他们把这种欺骗称之为Tabnabbing。
现在来简单介绍一下,页面标签欺骗原理:
(1)用户打开很多网站页面窗口浏览器网站,这其中就包括攻击者制作的一个恶意攻击页面。
(2)当这个攻击页面检测用户不在浏览这个页面,也就是说长时间内失去了焦点。
(3)攻击页面自动篡改标签的logo,页面标题,和页面本身。比如全都改成Gmail的。
(4)当用户浏览了一圈,由于视觉欺骗,发现有Gmail的logo。而且通过上面的介绍我们知道,多页面多窗口的特点使得用户要寻找页面只能通过标签上的logo和标题去分辨。
(5)用户欣然的点开标签为Gmail的这个页面,进去后除了URL地址不是Gmail外,其他所有都是Gmail的内容。视觉上的盲区,再次使得用户可能忽略地址栏中的URL,下意识的认为这是一个正常的Gmail登录页面。进而进行登录操作,这样账户密码就被盗了,登录成功后再转向到真的Gmail页面。
以上五点就是页面标签欺骗的整个过程。现在Chrome、Firefox浏览器都会受到这种攻击的影响。
网站敌人之四:页面解析欺骗
- 最近发表
- 赞助商链接