2004年十大网络安全漏洞

标题：国际安全组织揭示2004年度十大网络应用漏洞

IT安全领域的专业人士一直密切关注着网络应用的安全问题。近日，开放网络应用安全计划组织（OWASP）发布了备受瞩目的第二份年度十大网络应用安全薄弱环节列表。这份报告聚焦于那些在日常网络应用中威胁用户和数据安全的隐患。值得注意的是，今年新增的“拒绝提供服务”类型的隐患引起了广泛关注，因为这种攻击在去年已经屡见不鲜。

OWASP的主席兼一家提供战略安全服务的公司“奠基石”的顾问会主任柯费·马克对当前的网络安全状况十分担忧。他指出：“我们预测，今年主要的电子商务网站将面临拒绝提供服务的攻击。黑客已经对众多用户密码感到厌烦，他们开始采用更为复杂的攻击手段。”当柯费在Charles Schwab从事IT安全工作时，他和其他志同道合的同事一起创立了OWASP，开始针对网站安全相关的重大问题进行研究评估。他们辛勤工作了一年，最终发表了一份近200页的OWASP指导性文献，该资料深受IT安全专业人士和编程人员的欢迎，下载次数高达150万次。柯费说：“这份资料的认可度远超预期。”但编程人员也反映需要一个更适合给CIO和其他主管人员阅读的材料，于是去年他们发布了第一份《十大网络应用安全薄弱环节列表》。以下是今年的十大薄弱环节详解：

一、未经验证的参数：网络应用软件在使用某些参数前未进行合法性验证，攻击者可利用这一点发动攻击。

二、失效的访问控制：对网络应用软件中授权用户的访问权限管理不当，使得攻击者有机会利用漏洞访问其他用户账户或执行未经授权的操作。

三、失效的账户及对话管理：账户证书和对话标识未得到妥善保护，攻击者可非法操作密码、密钥等，冒充其他用户通过认证。

四、跨站点脚本漏洞：网络应用软件可能被攻击者利用，将攻击转移到终端用户的浏览器上，获取用户信息或欺骗用户。

五、缓冲溢出：某些编写的网络应用软件程序组件无法正确验证输入信息，可能导致进程崩溃或被攻击者利用控制进程。

六、命令注入漏洞：当网络应用软件与外部系统或本地操作系统交互时，若传递的参数被嵌入恶意命令，外部系统可能会以网络应用软件的名义执行这些命令。

七、错误的非正确处理：系统错误在用户正常操作中未得到正确处理，攻击者可利用这些错误获取系统信息、拒绝服务或导致系统瘫痪。

八、非安全存储：网络应用软件在保护信息和证书时使用的加密功能难以正确编码，导致防护功能减弱。

九、拒绝提供服务：攻击者消耗网络应用资源，导致合法用户无法使用资源或应用程序。包括封锁用户账户或无法进行账户申请等情况。

十、非安全的配置管理：服务器配置选项对网络应用软件的安全至关重要。错误的配置选项可能使服务器失去安全性。柯费强调：“网络应用安全面临着多方面的挑战。许多问题是人的逻辑问题，这些问题无法通过技术手段完全解决。”他补充说，“这是一道逻辑难题，一类有待解决的新问题。”面对这些挑战，我们需要持续关注并加强网络安全防护意识，共同维护网络安全。