程序漏洞成黑帽大会关注点

这种变化反映出安全行业的趋势：即恶意攻击正从普通的病毒转变为更有针对性的攻击，这些攻击所针对的目标是存在漏洞的企业IT系统。

会上，网络安全测试公司Cenzic公布了几种程序漏洞趋势：在200 
7年第二季度，在流行软件中发现了1484个漏洞，其中，有72%的漏洞与软件程序、网络程序、网络服务器或网页浏览程序相关，而2007年第一季度，这一比例只有7%。

在浏览器漏洞中，有33%的漏洞存在于微软的IE浏览器中，26%存在于Mozilla的Firefox中，21%的存在于Opera浏览器中。

AJAX程序中漏洞多

SPI Dynamics程序安全测试软件制造商的研究员们演示了常见的AJAX程序设计漏洞，这些设计都来自不合标准的代码，比如使用客户端XSL转换、使用错误的服务器端的API以及将数据无意识地存放在很多客户端的程序中等等。基于AJAX的Web 2.0语言，比如异步JavaScript和XM已经成为一种流行的平台，但很多程序员在使用这些语言时没有重视其安全问题。

与会专家表示:大部分的开发人员对AJAX缺乏经验。雅虎、Google都存在AJAX安全问题。如果这些公司都存在问题，那么小公司的开发问题更多。

两位研究员对一个使用AJAX编程技术开发的虚拟旅游网站发起攻击，他们使用了从这些程序窃取信息的攻击手段，对网站实行拒绝服务式攻击，或者利用漏洞去深入底层的系统，都获得了成功。

2007年4月，Hoffman在ShmooCon年度黑客大会上使用他自己设计的一种系统发现了一个JavaScript漏洞，引起轰动，漏洞叫做Jikto，会后，有人将这个工具泄露到了互联网上。

数据库中存在漏洞

SPI的对手，Watchfire演示了“空悬指针”攻击——指针指向了一块没有分配给用户使用的内存，这是一种非常常见的编程漏洞。空悬指针曾被专家怀疑可以造成潜在的安全威胁，但一直没有得到证实。会上，Watchfire表示，他们找到了第一种可以真正利用这一漏洞的指令。Watchfire的安全研究主管Danny Allan说：“很长一段时间以来，空悬指针理论上被认为是一种安全漏洞，因为如果将指针指向恶意代码，你就可以干坏事，但之前，还没有人能够找出利用这一漏洞的方法。但目前已经出现了这种漏洞的利用方法。我预计，围绕这一问题将出现大量的研究。”今年6月，这家公司被IBM收购，IBM计划将Watchfire的漏洞扫描技术整合到它的Rational开发平台当中。

Core的研究员Saura和Ariel Waissbein表示通过执行记录插入操作，人们可窃取数据库中的机密信息，在一个数据库当中，记录插入指令是一套非特权指令集，任何用户都可以使用它们，包括通过网络程序访问系统等等。

Core公司的首席技术官Ivan Arce说：“这里面并不存在配置错误的问题。这里所利用的是数据库允许用户快速访问信息的设计特点，很多情况下，黑客只需简单地在数据库当中插入几行指令，就可以找到数据库当中的内容，并可以推断出数据库内容是什么，比如，信用卡号码等等。”

因为程序漏洞日益增多，黑帽大会首度设立了“Pwnies”奖项，以奖励最有创新的漏洞以及漏洞利用发现者。“Pwnies”来源于“pwning”这个黑客专业术语（意思是专门威胁特定的网站或程序），它下设“最佳服务器端臭虫奖”、“最佳客户端臭虫奖”、“最有创新研究奖”、“最佳厂商响应攻击奖”以及“最轰动臭虫奖”。Pwnies奖的评委都是知名安全研究员，其中包括Dino Dai Zovi、HD Moore，Dave Aitel和Alexander Sotirov。