安全经验：当心统一资源标识符漏洞被利用

　　由于网络的发达，现然应用软件的漏洞是层出不尽。固然我们应当重视对这些软件及时打上补丁，不过在安全领域我们总是可以找到一些被忽视的角落。如这里我们要讨论的统一资源标识符就是一个例子。

　　在访问网页的过程中，许多使用互联网的人们都知道什么是Web地址，或者至少能将Web地址这个词作为URL（统一资源定位器）的同义词：这是用于识别某个资源的一个字符串，还可以作为定位这种资源的方式。

　　事实上，一个URL即是统一资源标识符（也称为URI）的子集。统一资源标识符使用一种已经定义的语法，提供一种用于识别和访问互联网资源的简易而可扩展的方式。标识符具备这种能力，根本不需要关心用户所使用的应用程序是什么。URI语法从本质上讲是一个URI服务名称，如我们熟悉的“http”（超文本传输协议），它在使用时要在其后加上一个冒号，然后是具体的提供服务的部分，例如：

　　http://cn.yahoo.com是一个指明中文雅虎主页的URI。这个标识符还确认了这个页面可以从一个名为cn.yahoo.com的网络主机，通过使用HTTP协议进行定位。

　　Mozilla的开发人员经常使用一个以“rdf”开头的URI,它允许对一种特定数据源的访问。例如，URI“rdf:history”，其返回的数据源拥有与用户浏览的历史有关的信息。

　　URI还可以用于从一个浏览器内启动一个应用程序。在安装过程中，浏览器会在注册表中自动存储或注册，各种各样的URL协议处理程序，如“mailto ”以及“nntp（网络新闻传输协议）”等。这些协议处理程序中的每一个都与一个应用程序有关，如此一来，在收到请求时，浏览器会启动一个恰当的软件。因此，如果我们单击一个以“aim:goim”开头的链接，就会打开一个AIM即时消息窗口。

　　虽然这种功能有助于在不太复杂的用户应用程序之间形成交互，许多软件开发人员并不完全理解URI的复杂性和将其放置到注册表中可能造成的后果。基本而言，增加一个URI处理程序有可能增加应用程序遭受攻击的风险。

　　在这里我们要谈谈关于Firefox的安全问题。在安装这个浏览器时，它注册了一个称为“FirefoxURL”的协议处理程序，这就潜地使得Web页面中的URI能够启动Firefox。因为URL处理程序注册方式的原因，Windows不能分辨哪种类型的输入或请求是合法的。因此在浏览器遇到一个满足内部的FirefoxURL的URL时,它就会调用ShellExecute命令，并将全部的请求传递过去，却不会进行任何的输入合法性的确认。也就是说并不存在任何的对传递给ShellExecute命令的检查。通过伪造一个恶意的URL，一个攻击者就可以传递参数和数据给一个外部的应用程序，这个应用程序会在请求的URI被装载时运行。恶意的链接会通过一个HTML电子邮件的形式发送，或者被嵌入到一个Web站点中。

　　虽然Mozilla公司已经发布了一个补丁，不过，URI问题不仅仅是浏览器的问题。研究人员Billy Rios 和 Nathan McFeters宣称已经发现了一个“基于功能的漏洞利用程序。”通过协议处理程序，并使用流行软件的合法特性，这两位研究人员宣称已经找到一个从受害人计算机上窃取数据的方法，并可以将这些数据上传到一台远程服务器上。

　　这种URI的漏洞利用将会发动针对开发人员和用户等的新一轮的问题。开发人员需要评估其应用程序是否真得有正当理由保证一个URI的注册。任何一个注册标记符的应用程序都需要验证任何的数据输入，并保证其清洁。如果攻击者能够利用漏洞执行应用程序，他们就会用目标用户的特权达到其目的。

　　URI方案是极有价值的资源，可用于解决全球通用的信息空间问题。创建新的URI方案的开发人员，也会同时创建了一个攻击者们可以利用的新漏洞利用程序。

　　防护一次可能的URI攻击的最好方法是安装浏览器厂商的最新的修正程序。网络管理员们必须提醒其用户千万不要打开未取得其信任的源站点的链接，或打开任何非请求的HTML格式的电子邮件。攻击者依赖于用户的交互，因此要使这样一次攻击获得成功，受害者需要打开指向恶意站点的链接，或打开一个恶意的电子邮件。最后，安全专家们必须保证用户账户只拥有必要的、最少的使其可以完成其工作的访问权限。