美国一公司公布业界十大网络软件安全漏洞 | ||
---|---|---|
http://www.sina.com.cn 2003年01月15日 08:12 新浪科技 | ||
新浪科技讯 美国东部时间1月14日(北京时间1月15日)消息,位于华盛顿的一家开放信息公司即开放网络软件安全公司(OWASP)星期一公布了目前业界十大网络应用软件安全漏洞。这十大漏洞主要集中在政府部门和工业企业面临最严重的软件安全隐患方面。 根据该公司公布的这份报告,这些漏洞的存在,使那些并不高深的黑客利用简单的工具就可以对用户进行攻击。该公司表示,当一个机构安装了一种网络应用软件,然后向其它 1、无效参数:来自于网络申请的信息在被一种网络应用软件使用之前就已经被变成无效信息。攻击者可以利用这些漏洞通过一种网络应用软件攻击后方组件。 2、失效的访问控制:用于鉴别用户的各种限制条件被不适当地使用。攻击者可以利用这些漏洞访问其它用户的帐户,偷看敏感文件或者使用非经授权的功能。 3、失效的帐户及会议管理:帐户凭证和会议标志没有得到正当的保护。那些能够危害到密码、密钥和会议信息或者其它会议标志的攻击者能够突破身份验证限制,并采用其它用户的身份。 4、跨站点脚本漏洞:网络应用软件可以被攻击者用作一种装置攻击终端用户的浏览器。一次成功的攻击可以获取到终端用户的会议信息,可以攻击本地电脑,或者可以修改内容愚弄用户。 5、缓冲溢出:以某些语言编写的网络应用软件的组件不能有效执行输入功能,这种组件很可能会被摧毁,在某些情况下,攻击者往往能控制一个程序。这些组件可能包括公共网关接口(CGI)、程序库、驱动程序和网络应用软件服务器组件。 6、命令注入漏洞:用户在利用网络应用软件访问外部系统或者是本地操作系统时,网络应用软件可能会传递出一些参数。如果攻击者能够在这些参数中嵌入一些恶意命令,那么被访问的外部系统可能会代表这种网络应用软件来执行这些命令。 7、错误处理问题:在用户正常操作系统的过程中出现的一些错误情况没有得到适当处理。如果一个攻击者能够制造网络应用软件无法处理的错误,那么攻击者就能获取到详细的系统信息,抵制服务、引起安全系统瘫痪或者摧毁服务器。 8、密码系统的非安全利用:网络应用软件频繁地利用密码系统功能来保护信息。这些功能及代码很难综合起来进行适当编码,如果频繁使用,就会导致保护功能失效。 9、远程管理漏洞:许多网络应用软件允许管理员使用网络界面访问站点。如果这些管理功能没有被非常认真地保护起来,那么一个攻击者就可能获得完全访问一个站点各方面信息的能力。 10、网络及应用软件服务器错误配置:拥有一个过得硬的服务器配置标准对于保护网络应用软件来说是至关重要的。这些服务器有许多可以影响到安全的配置选项,如果选择错误是非常不安全的。(永建)
|