6月第5周安全回顧Web應用安全受關注微軟IE新漏洞
本週(080623至080629)資訊保安威脅程度為低。
推薦閱讀:
1)【工具】微軟推出免費的SQL隱碼攻擊防禦工具;推薦指數:高
進入第二季度以來,網路犯罪集團在網際網路上掀起了新一輪的攻擊高潮,他們針對合法網站進行攻擊的最主要手段就是SQL隱碼攻擊。針對受攻擊的物件主要是支援ASP和ASP.net的IIS伺服器這一特點,Microsoft週三在官方站點上釋出了一個幫助使用者防禦SQL攻擊的安全公告,並提供了兩個免費的安全工具。建議使用IIS伺服器的朋友都按照Microsoft的建議進行安全加固。
2)【言論】趨勢科技CEO稱反病毒行業已經輸掉與惡意軟體之間的戰爭;推薦指數:中
在上週的一次採訪中,趨勢科技CEO Eva Chen稱,反病毒行業已經輸掉了與惡意軟體之間的戰爭,惡意軟體編寫者在技術和策略上佔據了優勢。由於近幾年惡意軟體編寫技術的快速發展,新惡意軟體和舊惡意軟體的新變種的出現速度越來越快,反病毒行業逐漸有落後的跡象。根據反病毒廠商F-secure的安全報告([url]http://www.darkreading.com/document.asp?doc_id=157361&f_src=darkreading_section_297[/url]) 。 進入2008年之後,惡意軟體種類的增長速度遠超過以往任何一個時期。
3)【新聞】研究人員破解倫敦公交卡;推薦指數:高
來自荷蘭一所大學的幾個研究人員上週破解了倫敦公交卡的安全措施。只需要使用一個膝上型電腦進行公交卡的克隆,重新設定公交卡的授權級別,研究人員就能夠隨意乘坐倫敦市內的所有公交路線。由於針對公交系統的攻擊有可能產生經濟、個人隱私等諸多威脅,這個新聞值得交通運輸部門關注。
要聞回顧
媒體方面,本週值得關注的新聞集中在Web應用安全和漏洞攻擊領域。
Web應用安全:Yahoo Mail發現新漏洞;HSBC網站漏洞已被用於網路釣魚攻擊;關注指數:高
新聞1:6月25日,來自Darkreading.com的訊息,應用安全廠商Cenzic當天宣佈,著名電子郵件服務Yahoo Mail中存在一個新的跨站指令碼漏洞,這個漏洞是在6月早些時候被Cenzic的安全研究人員在使用Yahoo Messenger Desktop訪問Yahoo Mail時所發現的。攻擊者可以使用該漏洞,竊取使用者的電子郵件賬戶資訊或其他私人資訊。Yahoo公司在接到Cenzic公司的通知之後,已經於6月13日宣佈解決了該問題。
新聞2:6月25日,來自Theregister.com的訊息,安全網站xssed.com稱,英國匯豐銀行的多個網站上都存在跨站指令碼漏洞,攻擊者可以藉由這些跨站指令碼漏洞,將訪問這些合法銀行網站的使用者欺騙到其精心構建的網路釣魚網站上,從而獲取使用者敏感的銀行賬戶和密碼資訊。由於匯豐銀行在修補網站漏洞方面動作緩慢,因此這些網站上存在的漏洞將在較長的時間內對網站使用者的安全造成較大威脅。
分析:跨站指令碼漏洞,指在網站程式的編寫過程,由於對使用者的輸入沒有進行有效的有效性檢驗和敏感詞過濾,允許惡意攻擊者在存在跨站指令碼漏洞的頁面輸入精心構造的HTML或Java script指令碼,當其他合法的使用者瀏覽到該頁面時,將執行惡意攻擊者留下的程式碼,遭受攻擊者的進一步攻擊,如被強制轉移到惡意攻擊者構造的網路釣魚網站,丟失使用者賬戶和密碼;或轉移到帶有瀏覽器漏洞利用程式的頁面,感染惡意軟體等。為了增強跨站指令碼漏洞的效果,攻擊者往往還會利用垃圾郵件的形式,廣泛傳送帶有攻擊程式碼的電子郵件。按照新聞中的描述,Yahoo Mail和匯豐銀行網站存在的跨站指令碼漏洞,攻擊者利用的方式也可能是以網路釣魚的方式實施,由於沒有進一步的攻擊報告,尚無法評估具體的受威脅範圍。
筆者觀點:作為危害較大和釋出較廣的攻擊方式,跨站指令碼所受到的關注卻遠遠不及廣為人知的SQL隱碼攻擊,這種情況在國內更為明顯,許多企業或安全廠商在進行網站安全加固專案的時候,大多考慮各種能夠威脅到網站資料安全的攻擊型別,跨站指令碼攻擊只被歸入威脅程度較低的攻擊中。隨著業界對SQL隱碼攻擊的關注和防禦愈加完善,更為隱蔽的跨站指令碼攻擊是否會成為國內網路犯罪集團的下一個主要攻擊手法,將成為安全業界和企業需要關注的重要問題。
漏洞攻擊:微軟IE中發現多個新漏洞;關注指數:高
新聞1:6月26日,來自eWeek.com的訊息,來自不同國家的安全研究團隊當天釋出了兩個微軟IE的漏洞公告,其中之一是由國內安全組織幻影旅團公佈的IE6跨域指令碼漏洞,而另外一個是由丹麥安全網站Securnia.com公開的IE7漏洞,這兩個漏洞均有可能被攻擊者用來在當前使用者的許可權下執行程式碼。
分析1:Microsoft的一個發言人已於週二確認了該漏洞的存在,並稱將對這兩個安全組織提出的漏洞報告進行分析。從漏洞報告上看,儘管這兩個漏洞並不像遠端執行程式碼漏洞那樣危險,但仍然有可能會對使用者的系統和資料造成較大的威脅,比如在企業內部網路中,一個成功侵入企業Portal網站的外部入侵者就有可能通過利用該漏洞,通過Portal網站(可信站點)植入自己的惡意軟體,從而達到控制使用者系統的目的。按照Microsoft的一貫做法,針對這兩個漏洞的補丁將在下個月的第二個星期二或更晚時候才會推出。筆者建議,在Microsoft推出補丁之前,使用者可以通過禁用可信站點區域內的指令碼執行功能,或將IE6升級到IE7的最新版本,以保證在瀏覽可信站點的時候不受上述兩個漏洞的威脅。
本文轉自J0ker51CTO部落格,原文連結:http://blog.51cto.com/J0ker/84987,如需轉載請自行聯絡原作者
相關文章
- 1月第4周安全回顧移動安全受關注黑客威脅公共設施黑客
- 7月第4周安全回顧DNS漏洞影響廣泛網路訪問控制受關注DNS
- 10月第3周安全回顧:惡意軟體肆虐Web安全重點關注Web
- 10月第5周安全回顧IE7又現新漏洞殭屍網路感染率上升
- 5月第2周安全回顧Wi-Fi無線安全建議微軟修補4個漏洞微軟
- 7月第4周安全回顧 Web安全威脅目標轉移 Excel成垃圾新貴薦WebExcel
- web應用安全測試之業務漏洞Web
- 12月第四周安全回顧:雙節期間微軟忙補新漏洞,新Hash將測試微軟
- web 應用常見安全漏洞一覽Web
- 12月第3周安全回顧Cisco出安全報告微軟系統補丁包兩連發微軟
- 6月第1周安全回顧FlashPlayer漏洞危機郵件洩漏敏感資訊
- WEB應用常見15種安全漏洞一覽Web
- 5月第3周安全回顧思科路由器Rootkit現身企業需漏洞管理路由器
- 直播回顧:Coremail校園郵件安全防護交流會暨新技術應用分享REMAI
- 8月第1周安全回顧0Day漏洞成企業最大威脅應重視網路監聽
- OAuth 2.0安全案例回顧OAuth
- 8月第4周安全要聞回顧:WEB***更為隱蔽 SSD驅動器欠佳薦Web
- 8月第3周安全回顧微軟發8月補丁開源反毒軟體被收購微軟
- 《走進企業看安全》第6站:愛加密站 活動回顧加密
- 趨勢科技:微軟已修復IE7的最新安全漏洞微軟
- Web安全漏洞之CSRFWeb
- [web安全] 檔案包含漏洞Web
- Web應用安全防護-WAFWeb
- 微軟將全面放棄IE瀏覽器:回顧IE20年成長史微軟瀏覽器
- 移動應用安全:2021年的安全漏洞
- 用微軟基準安全分析器查詢系統安全漏洞(轉)微軟
- 8月第4周安全要聞回顧:WEB攻擊更為隱蔽SSD驅動器欠佳Web
- 只有“全”才有“安” 網路安全問題在兩會上受關注
- 安全日受關注,全球Java技術驅動裝置超15億Java
- 08第1周安全回顧微軟罕見只發2補丁惡意軟體數量驚人微軟
- 8月第3周安全回顧 微軟發8月補丁 開源反毒軟體被收購薦微軟
- 機器人也飽受安全漏洞折磨機器人
- web前端應用應該關注哪些效能指標?Web前端指標
- 9月第1周安全要聞回顧:Chrome的高安全性Hypervisor產品虛擬化安全問題Chrome
- Web應用安全審計工具WATOBOWeb
- 8月第3周安全回顧:黑客攻擊肆虐電子商務安全須加強黑客
- 三位一體的漏洞分析方法-web應用安全測試方法Web
- 詳解Web應用安全系列(2)注入漏洞之XSS攻擊Web