新技術 新威脅 Web2.0下的十大攻擊(轉)

新技術 新威脅 Web2.0下的十大攻擊(轉)[@more@]Web2.0是表述新一代網路應用的新鮮術語。Start.com,Google maps,Writely以及MySpace.com都是使用Web2.0的範例。技術水平的不斷進步，推動了web2.0應用的發展。在網路服務方面，它加強了服務端的核心技術元件，而在客戶端方面，AJAX和豐富網路應用(RIA)則改進了瀏覽器中的客戶端使用者介面。


XML語言對錶示層和傳輸層（HTTP/HTTPS）有巨大的影響。SOAP成為基於XML的傳輸機制的特別選擇後，從某種程度上說，XML在表示層上取代了HTML語言。


Web2.0關注點——重整行業


技術變革帶來了新的安全關注點和新的攻擊向量。Yamanner,Samy以及Spaceflash這些典型蠕蟲正在攻擊包含保密資訊的AJAX架構的客戶端，它們提供攻擊途徑。


在伺服器端，基於XML的網路服務正在取代一部分的關鍵功能。它提供可透過網路服務介面來訪問的分散式應用。使用者可以從瀏覽器端遠端啟用基於GET,POST或者SOAP的方法，這項能力給各種應用帶來新的缺陷。另一方面，使用XML,XUL,Flash,Applets和JAVAScripts的RIA框架增加了更多可用的攻擊向量。RIA,AJAX以及網路服務給網路應用安全增加了新的維度。


下面是10個攻擊向量的列表以及簡短介紹：


1.AJAX中的跨站點指令碼


前幾個月，人們發現了多種跨站點的指令碼攻擊。在此類攻擊中，受害者的包含資訊的瀏覽器上會執行來自特定網站的惡意JAVA指令碼程式碼。Yamanner蠕蟲就是一個最近的範例，它利用Yahoo郵件的AJAX呼叫中的跨站點指令碼機會來攻擊受害者。另一個近期的範例就是Samy蠕蟲，它利用MySpace.com的跨站點指令碼漏洞來攻擊。AJAX在客戶端上執行，它允許錯誤書寫的指令碼被攻擊者利用。攻擊者能夠編寫惡意連結來哄騙那些沒有準備的使用者，讓他們用瀏覽器去訪問特定的網頁。傳統應用中也存在這樣的弱點，但AJAX給它新增了更多可能的漏洞。


2.XML中毒


很多Web2.0應用中，XML傳輸在伺服器和瀏覽器之間往復。網路應用接收來自AJAX客戶端的XML塊。這XML塊很可能染毒。多次將遞迴負載應用到產出相似的XML節點,這樣的技術還並不普遍。如果機器的處理能力較弱，這將導致伺服器拒絕服務。很多攻擊者還製作結構錯誤的XML文件，這些文件會擾亂伺服器上所使用的依賴剖析機制的邏輯。伺服器端的剖析機制有兩種型別，它們是SAX和DOM。網路服務也使用相同的攻擊向量，這是因為網路服務接收SOAP訊息，而SOAP就是XML訊息。在應用層大範圍地使用XMLs使攻擊者有更多的機會利用這個新的攻擊向量。


XML外部實體參照是能被攻擊者偽造的一個XML的屬性。這會使攻擊者能夠利用人意的檔案或者TCP連線的缺陷。XML schema中毒是另一個XML中毒的攻擊向量，它能夠改變執行的流程。這個漏洞能幫助攻擊者獲得機密資訊。


3.惡意AJAX程式碼的執行


AJAX呼叫非常不易察覺，終端使用者無法確定瀏覽器是否正在用XMLHTTP請求物件發出無記載的呼叫。瀏覽器發出AJAX呼叫給任意網站的時候，該網站會對每個請求回應以cookies。這將導致出現洩漏的潛在可能性。例如，約翰已經登陸了他的銀行，並且透過了伺服器認證。完成認證過程後，他會得到一個會話 cookie。銀行的頁面中包含了很多關鍵資訊。現在，他去瀏覽器他網頁，並同時仍然保持銀行賬戶的登陸狀態。他可能會剛好訪問一個攻擊者的網頁，在這個網頁上攻擊者寫了不易被察覺的AJAX 程式碼，這個程式碼不用經過約翰的同意，就能夠發出後臺呼叫給約翰的銀行網頁，因而能夠從銀行頁面取得關鍵資訊並且把這些資訊傳送到攻擊者的網站。這將導致機密資訊的洩漏甚至引發安全突破。


4.RSS/Atom 注入


這是一項新的web2.0攻擊。RSS反饋是人們在入口網站或者網路應用中共享資訊的常用手段。網路應用接受這些反饋然後傳送給客戶端的瀏覽器。人們可以在該RSS反饋中插入文字的JavaScript來產生對使用者瀏覽器的攻擊。訪問特定網站的終端使用者載入了帶有該RSS反饋的網頁，這個指令碼就會執行起來——它能夠往使用者的電腦中安裝軟體或者竊取cookies資訊。這就是一個致命的客戶端攻擊。更糟糕的是，它可以變異。隨著RSS和ATOM反饋成為網路應用中整合的元件，在伺服器端將資料釋出給終端使用者之前，過濾特定字元是非常必要的。