科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道程序漏洞成黑帽大会关注点

程序漏洞成黑帽大会关注点

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

这种变化反映出安全行业的趋势:即恶意攻击正从普通的病毒转变为更有针对性的攻击,这些攻击所针对的目标是存在漏洞的企业IT系统

作者:计算机世界 王昆月 2007年8月22日

关键字: 黑帽大会 程序漏洞

  • 评论
  • 分享微博
  • 分享邮件

这种变化反映出安全行业的趋势:即恶意攻击正从普通的病毒转变为更有针对性的攻击,这些攻击所针对的目标是存在漏洞的企业IT系统。

会上,网络安全测试公司Cenzic公布了几种程序漏洞趋势:在200 
7年第二季度,在流行软件中发现了1484个漏洞,其中,有72%的漏洞与软件程序、网络程序、网络服务器或网页浏览程序相关,而2007年第一季度,这一比例只有7%。

在浏览器漏洞中,有33%的漏洞存在于微软的IE浏览器中,26%存在于Mozilla的Firefox中,21%的存在于Opera浏览器中。

AJAX程序中漏洞多

SPI Dynamics程序安全测试软件制造商的研究员们演示了常见的AJAX程序设计漏洞,这些设计都来自不合标准的代码,比如使用客户端XSL转换、使用错误的服务器端的API以及将数据无意识地存放在很多客户端的程序中等等。基于AJAX的Web 2.0语言,比如异步JavaScript和XM已经成为一种流行的平台,但很多程序员在使用这些语言时没有重视其安全问题。

与会专家表示:大部分的开发人员对AJAX缺乏经验。雅虎、Google都存在AJAX安全问题。如果这些公司都存在问题,那么小公司的开发问题更多。

两位研究员对一个使用AJAX编程技术开发的虚拟旅游网站发起攻击,他们使用了从这些程序窃取信息的攻击手段,对网站实行拒绝服务式攻击,或者利用漏洞去深入底层的系统,都获得了成功。

2007年4月,Hoffman在ShmooCon年度黑客大会上使用他自己设计的一种系统发现了一个JavaScript漏洞,引起轰动,漏洞叫做Jikto,会后,有人将这个工具泄露到了互联网上。

数据库中存在漏洞

SPI的对手,Watchfire演示了“空悬指针”攻击——指针指向了一块没有分配给用户使用的内存,这是一种非常常见的编程漏洞。空悬指针曾被专家怀疑可以造成潜在的安全威胁,但一直没有得到证实。会上,Watchfire表示,他们找到了第一种可以真正利用这一漏洞的指令。Watchfire的安全研究主管Danny Allan说:“很长一段时间以来,空悬指针理论上被认为是一种安全漏洞,因为如果将指针指向恶意代码,你就可以干坏事,但之前,还没有人能够找出利用这一漏洞的方法。但目前已经出现了这种漏洞的利用方法。我预计,围绕这一问题将出现大量的研究。”今年6月,这家公司被IBM收购,IBM计划将Watchfire的漏洞扫描技术整合到它的Rational开发平台当中。

Core的研究员Saura和Ariel Waissbein表示通过执行记录插入操作,人们可窃取数据库中的机密信息,在一个数据库当中,记录插入指令是一套非特权指令集,任何用户都可以使用它们,包括通过网络程序访问系统等等。

Core公司的首席技术官Ivan Arce说:“这里面并不存在配置错误的问题。这里所利用的是数据库允许用户快速访问信息的设计特点,很多情况下,黑客只需简单地在数据库当中插入几行指令,就可以找到数据库当中的内容,并可以推断出数据库内容是什么,比如,信用卡号码等等。”

因为程序漏洞日益增多,黑帽大会首度设立了“Pwnies”奖项,以奖励最有创新的漏洞以及漏洞利用发现者。“Pwnies”来源于“pwning”这个黑客专业术语(意思是专门威胁特定的网站或程序),它下设“最佳服务器端臭虫奖”、“最佳客户端臭虫奖”、“最有创新研究奖”、“最佳厂商响应攻击奖”以及“最轰动臭虫奖”。Pwnies奖的评委都是知名安全研究员,其中包括Dino Dai Zovi、HD Moore,Dave Aitel和Alexander Sotirov。

 

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章