9成網站都有商業邏輯漏洞
作者: its
|
發布: 2007/10/23 (上午 06:21)
|
閱讀: 29193
|
評論: 0
|
靜態地址
|
內容源碼
OWASP(開放網絡軟件安全組織)日前在臺灣舉辦第一屆官方亞洲年會,針對許多Web以及Web應用程序安全發表相關演說。其中,前Yahoo資安長Jeremiah Grossman首度發表商業邏輯漏洞(Business Logic Flaws)演說,直指這種商業邏輯漏洞將使得企業網站陷入危機,一個不注意可能導致企業營收損失。
Jeremiah Grossman是白帽(WhiteHat Security)安全資安顧問公司創辦人兼技術長,也是美國黑帽(Black Hat)和DefCon黑客年會講師。他從許多的資安事件發生的原因,歸納出一個對企業資安的威脅型態:商業邏輯漏洞。
在線拍賣造成可能的商業邏輯漏洞
商業邏輯漏洞其實就是,一般商業邏輯流程過程中,所出現的技術漏洞。曾經當過雅虎資安長的Jeremiah Grossman說:「在線拍賣就是一個常見的商業邏輯漏洞的案例。」
他進一步解釋,在線購物網站為了避免黑客以暴力手法找出用戶的密碼,通常會在密碼輸入錯誤數次之后即鎖定該賬戶。有心的黑客若要搶標,就可以利用這個邏輯上的漏洞來死鎖其他競標者,黑客只要以其他競標者的賬號,連續輸入錯誤的密碼來造成該帳戶被系統死鎖,再趁機搶標。
商業邏輯漏洞發生可能性廣泛
這樣的商業邏輯漏洞也發生在常見的密碼恢復認證機制上。Jeremiah Grossman指出,有許多Web服務機制為了降低解決用戶忘記密碼的困擾,并降低解決這類問題的成本,會設立所謂的安全問題,藉由回答安全性問題取得用戶密碼。不過,便曾經發生設定安全性問題時,其答案選項固定,嘗試幾次就會猜到。例如,安全性問題是最喜歡的顏色為何?但選項若指有紅、黑、白等3個答案時,嘗試幾次錯誤之后,就可以破解了。
另外,美國也有一些專業的產業媒體報導,為了怕影響股價,會在一定日期過后才能公開給特定的授權對象。Jeremiah Grossman說,這些文章其實老早就被上傳到網絡服務器上,等時間到才開放。但就有人發現每一篇文章的網址包含日期數字,具有規則性,透過猜出刊日期與文章數字的方式,輕易拆解出未公開文章的網址,并趁機獲利上百萬美元。
除了在線拍賣可能面臨這種商業邏輯漏洞外,同樣的方式也發生在交互式網絡電視臺、蘋果MacWorld與Steve Jobs有約、在線游戲、在線賭博等商業流程中。
9成網站具有商業邏輯漏洞
Jeremiah Grossman表示,不論是信用卡事務數據傳輸,或者是密碼復原,就是一般常見以Web為主的商業邏輯流程,這其中所有的技術弱點,都會是黑客專注攻擊的目標。根據白帽安全資安顧問公司的統計,在掃描將近1,000個網站中,將近9成網站,具有商業邏輯流程的技術弱點。
企業使用Web應用程序的比例越來越高,Jeremiah Grossman表示,不論這些Web應用程序是客制化或者是由第三方廠商提供,大多經過良好的質量控管檢測,加上這些可能的商業邏輯漏洞,也很難透過IDS(入侵檢測系統)定義出缺陷、漏洞在哪,網絡應用程序防火墻也很難抵抗這樣缺陷、漏洞的發生。簡而言之,就目前所有的防御工具而言,對于這種商業邏輯流程中所造成的技術漏洞,尚不能透過工具進行有效防御措施。
縱深防御是商業邏輯漏洞最好的預防之道
面對這種商業邏輯漏洞該怎么解決?Jeremiah Grossman表示,除了避免將用戶賬號、密碼留存在網絡上,容易被有心人追查相關隱私外,也建議在密碼錯誤次數太多被封鎖時,可以加上輸入圖片上數字的CAPTCHA 系統,以避免機器人暴力拆解密碼的可能性。
由于這種商業邏輯漏洞問題的出現,往往不是程序本身有大的疏漏,Jeremiah Grossman表示,通常是在配合企業營運流程上的某一個關鍵點上的疏漏。所以,這樣的缺陷、漏洞,也無法透過常見的IDS(入侵檢測防御系統)等工具檢查出來。
但Jeremiah Grossman說,還是有一些基本的預防之道。這種商業邏輯漏洞流量并未異常,因此很難藉由基本的網絡應用程序防火墻、弱點掃描、安全的設定等方式,做到防護。但從最佳實務的角度來看,至少兩名資安專家,佐以自動化的掃描工具,程序開發符合SDLC(軟件開發生命周期),做到縱深防御,有助于發現商業邏輯漏洞。
另外,Jeremiah Grossman也建議,企業可做到資產追蹤、安全度量以及符合開發框架等,也都是有效解決商業邏輯漏洞的方式
SaaS將是未來資安部署的最佳選擇
Jeremiah Grossman表示,自動化掃描工具將有助于企業檢視商業邏輯漏洞的資安威脅。而此次同樣來臺灣參加OWASP亞洲年會的Qualys首席資安研究員Mike Shema則指出,SaaS已經是目前自動化掃描工具的基本型態,企業可以透過SaaS部署企業資安軟件。
Mike Shema表示,幾年前美國企業對于SaaS(軟件即服務)的作法還不信任,對于數據不存放在自家公司感到疑慮,但現在,美國企業已經理解到:問題不在數據放哪里,而是數據本身是否夠安全。他說,也因為美國企業開始有足夠的信任,許多提供自動掃描服務功能的資安公司,例如提供Port Scan的Qualys,都以SaaS方式提供企業客戶相關的服務。
白帽(WhiteHat Security)安全資安顧問公司則在多年前便提供網絡掃描的服務,也是以SaaS方式提供給企業。Jeremiah Grossman則是從這樣的掃描結果,觀察出商業邏輯漏洞的資安威脅。
Mike Shema說,對于提供自動化掃描服務,企業對于SaaS接受度很高,加上目前許多資安服務不涉及企業內數據存放,隨著企業Web應用程序應用越來越普及,企業對于SaaS的資安服務需求將越高。
本文國際來源 http://net.zdnet.com.cn/network_security_zone/2007/1022/570788.shtml
|