6月第5周安全回顾 Web应用安全受关注 微软IE新漏洞

 
本周(080623至080629)信息安全威胁程度为低。
 
推荐阅读:
 
1)【工具】微软推出免费的SQL注入防御工具;推荐指数:高
进入第二季度以来,网络犯罪集团在互联网上掀起了新一轮的攻击高潮,他们针对合法网站进行攻击的最主要手段就是SQL注入。针对受攻击的对象主要是支持ASP和ASP.net的IIS服务器这一特点,Microsoft周三在官方站点上发布了一个帮助用户防御SQL攻击的安全公告,并提供了两个免费的安全工具。建议使用IIS服务器的朋友都按照Microsoft的建议进行安全加固。
2)【言论】趋势科技CEO称反病毒行业已经输掉与恶意软件之间的战争;推荐指数:中
在上周的一次采访中,趋势科技CEO Eva Chen称,反病毒行业已经输掉了与恶意软件之间的战争,恶意软件编写者在技术和策略上占据了优势。由于近几年恶意软件编写技术的快速发展,新恶意软件和旧恶意软件的新变种的出现速度越来越快,反病毒行业逐渐有落后的迹象。根据反病毒厂商F-secure的安全报告([url]http://www.darkreading.com/document.asp?doc_id=157361&f_src=darkreading_section_297[/url])  。 进入2008年之后,恶意软件种类的增长速度远超过以往任何一个时期。
3)【新闻】研究人员破解伦敦公交卡;推荐指数:高
来自荷兰一所大学的几个研究人员上周破解了伦敦公交卡的安全措施。只需要使用一个笔记本电脑进行公交卡的克隆,重新设置公交卡的授权级别,研究人员就能够随意乘坐伦敦市内的所有公交路线。由于针对公交系统的攻击有可能产生经济、个人隐私等诸多威胁,这个新闻值得交通运输部门关注。
 
要闻回顾
 
媒体方面,本周值得关注的新闻集中在Web应用安全和漏洞攻击领域。
 
Web应用安全:Yahoo Mail发现新漏洞;HSBC网站漏洞已被用于网络钓鱼攻击;关注指数:高
 
新闻1:6月25日,来自Darkreading.com的消息,应用安全厂商Cenzic当天宣布,著名电子邮件服务Yahoo Mail中存在一个新的跨站脚本漏洞,这个漏洞是在6月早些时候被Cenzic的安全研究人员在使用Yahoo Messenger Desktop访问Yahoo Mail时所发现的。攻击者可以使用该漏洞,窃取用户的电子邮件账户信息或其他私人信息。Yahoo公司在接到Cenzic公司的通知之后,已经于6月13日宣布解决了该问题。
新闻2:6月25日,来自Theregister.com的消息,安全网站xssed.com称,英国汇丰银行的多个网站上都存在跨站脚本漏洞,攻击者可以藉由这些跨站脚本漏洞,将访问这些合法银行网站的用户欺骗到其精心构建的网络钓鱼网站上,从而获取用户敏感的银行账户和密码信息。由于汇丰银行在修补网站漏洞方面动作缓慢,因此这些网站上存在的漏洞将在较长的时间内对网站用户的安全造成较大威胁。
 
分析:跨站脚本漏洞,指在网站程序的编写过程,由于对用户的输入没有进行有效的有效性检验和敏感词过滤,允许恶意攻击者在存在跨站脚本漏洞的页面输入精心构造的HTML或Java script脚本,当其他合法的用户浏览到该页面时,将执行恶意攻击者留下的代码,遭受攻击者的进一步攻击,如被强制转移到恶意攻击者构造的网络钓鱼网站,丢失用户账户和密码;或转移到带有浏览器漏洞利用程序的页面,感染恶意软件等。为了增强跨站脚本漏洞的效果,攻击者往往还会利用垃圾邮件的形式,广泛发送带有攻击代码的电子邮件。按照新闻中的描述,Yahoo Mail和汇丰银行网站存在的跨站脚本漏洞,攻击者利用的方式也可能是以网络钓鱼的方式实施,由于没有进一步的攻击报告,尚无法评估具体的受威胁范围。
 
笔者观点:作为危害较大和发布较广的攻击方式,跨站脚本所受到的关注却远远不及广为人知的SQL注入攻击,这种情况在国内更为明显,许多企业或安全厂商在进行网站安全加固项目的时候,大多考虑各种能够威胁到网站数据安全的攻击类型,跨站脚本攻击只被归入威胁程度较低的攻击中。随着业界对SQL注入攻击的关注和防御愈加完善,更为隐蔽的跨站脚本攻击是否会成为国内网络犯罪集团的下一个主要攻击手法,将成为安全业界和企业需要关注的重要问题。
 
 
漏洞攻击:微软IE中发现多个新漏洞;关注指数:高
 
新闻1:6月26日,来自eWeek.com的消息,来自不同国家的安全研究团队当天发布了两个微软IE的漏洞公告,其中之一是由国内安全组织幻影旅团公布的IE6跨域脚本漏洞,而另外一个是由丹麦安全网站Securnia.com公开的IE7漏洞,这两个漏洞均有可能被攻击者用来在当前用户的权限下执行代码。
 
分析1:Microsoft的一个发言人已于周二确认了该漏洞的存在,并称将对这两个安全组织提出的漏洞报告进行分析。从漏洞报告上看,尽管这两个漏洞并不像远程执行代码漏洞那样危险,但仍然有可能会对用户的系统和数据造成较大的威胁,比如在企业内部网络中,一个成功侵入企业Portal网站的外部入侵者就有可能通过利用该漏洞,通过Portal网站(可信站点)植入自己的恶意软件,从而达到控制用户系统的目的。按照Microsoft的一贯做法,针对这两个漏洞的补丁将在下个月的第二个星期二或更晚时候才会推出。笔者建议,在Microsoft推出补丁之前,用户可以通过禁用可信站点区域内的脚本执行功能,或将IE6升级到IE7的最新版本,以保证在浏览可信站点的时候不受上述两个漏洞的威胁。




本文转自J0ker51CTO博客,原文链接:http://blog.51cto.com/J0ker/84987,如需转载请自行联系原作者

上一篇:有pmp证书还有必要考阿里云acp吗?pmp证书是什么?


下一篇:张尧学:透明计算必须具备三个方面条件