全球广为关注的黑帽安全大会的一个很大变化是,人们的关注焦点从病毒转向了程序安全。
这种变化反映出安全行业的趋势:即恶意攻击正从普通的病毒转变为更有针对性的攻击,这些攻击所针对的目标是存在漏洞的企业IT系统。
会上,网络安全测试公司Cenzic公布了几种程序漏洞趋势:在2007年第二季度,在流行软件中发现了1484个漏洞,其中,有72%的漏洞与软件程序、网络程序、网络服务器或网页浏览程序相关,而2007年第一季度,这一比例只有7%。
在浏览器漏洞中,有33%的漏洞存在于微软的IE浏览器中,26%存在于Mozilla的Firefox中,21%的存在于Opera浏览器中。
AJAX程序中漏洞多
SPI Dynamics程序安全测试软件制造商的研究员们演示了常见的AJAX程序设计漏洞,这些设计都来自不合标准的代码,比如使用客户端XSL转换、使用错误的服务器端的API以及将数据无意识地存放在很多客户端的程序中等等。基于AJAX的Web 2.0语言,比如异步JavaScript和XM已经成为一种流行的平台,但很多程序员在使用这些语言时没有重视其安全问题。
与会专家表示:大部分的开发人员对AJAX缺乏经验。雅虎、Google都存在AJAX安全问题。如果这些公司都存在问题,那么小公司的开发问题更多。
两位研究员对一个使用AJAX编程技术开发的虚拟旅游网站发起攻击,他们使用了从这些程序窃取信息的攻击手段,对网站实行拒绝服务式攻击,或者利用漏洞去深入底层的系统,都获得了成功。
2007年4月,Hoffman在ShmooCon年度黑客大会上使用他自己设计的一种系统发现了一个JavaScript漏洞,引起轰动,漏洞叫做Jikto,会后,有人将这个工具泄露到了互联网上。
数据库中存在漏洞
SPI的对手,Watchfire演示了“空悬指针”攻击——指针指向了一块没有分配给用户使用的内存,这是一种非常常见的编程漏洞。空悬指针曾被专家怀
疑可以造成潜在的安全威胁,但一直没有得到证实。会上,Watchfire表示,他们找到了第一种可以真正利用这一漏洞的指令。Watchfire的安全研究主管Danny Allan说:“很长一段时间以来,空悬指针理论上被认为是一种安全漏洞,因为如果将指针指向恶意代码,你就可以干坏事,但之前,还没有人能够找出利用这一漏洞的方法。但目前已经出现了这种漏洞的利用方法。我预计,围绕这一问题将出现大量的研究。”今年6月,这家公司被IBM收购,IBM计划将 Watchfire的漏洞扫描技术整合到它的Rational开发平台当中。
Core的研究员Saura和Ariel Waissbein表示通过执行记录插入操作,人们可窃取数据库中的机密信息,在一个数据库当中,记录插入指令是一套非特权指令集,任何用户都可以使用它们,包括通过网络程序访问系统等等。
Core公司的首席技术官Ivan Arce说:“这里面并不存在配置错误的问题。这里所利用的是数据库允许用户快速访问信息的设计特点,很多情况下,黑客只需简单地在数据库当中插入几行指令,就可以找到数据库当中的内容,并可以推断出数据库内容是什么,比如,信用卡号码等等。”
因为程序漏洞日益增多,黑帽大会首度设立了“Pwnies”奖项,以奖励最有创新的漏洞以及漏洞利用发现者。“Pwnies”来源于“pwning”这个黑客专业术语(意思是专门威胁特定的网站或程序),它下设“最佳服务器端臭虫奖”、“最佳客户端臭虫奖”、“最有创新研究奖”、“最佳厂商响应攻击奖”以及“最轰动臭虫奖”。Pwnies奖的评委都是知名安全研究员,其中包括Dino Dai Zovi、HD Moore,Dave Aitel和Alexander Sotirov。
网友评论