I'n Blog 之萬象真藏

資安組織今(9)日發表2007十大Web安全漏洞，而利用網頁及cookies寫作漏洞的跨站指令碼攻擊(XSS)登上首位。

開放Web軟體安全計畫(Open Web Application Security Project, OWASP)台灣分會今發表2007十大Web安全漏洞，年初曾發生在知名文件閱讀器Adobe Acrobat Reader上的跨站指令碼攻擊(Cross Site Scripting, XSS)居首位，而上週疑似使微軟英國網站被駭的隱碼攻擊(Injection Flaw，包括SQL Injection及Command Injection)居次，第三位則是Web應用程式引入外部惡意程式的惡意檔案執行攻擊(Malicious File Execution)。

OWASP台灣分會主席黃耀文在新聞稿中表示，該安全漏洞報告乃經由OWASP之資深安全專家，依Web安全弱點的嚴重性、與是否易於被駭客採用等依據所選出，作為網站開發人員開發時的安全參考。

在Web 2.0流行風潮下，新的網頁應用程式開發與相關技術(如AJAX)的應用，成為網站欲出奇致勝的重點，但在網站經營者爭相提供創新網頁服務的情況下，網頁應用程式的安全性也成為新的問題。

趨勢科技技術顧問簡勝財便指出，包括跨站指令碼攻擊與資料隱碼攻擊等上 榜漏洞，多半都是因網頁應用程式寫作不當，才產生讓駭客得以入侵的漏洞。他認為，網頁應用程式開發人員多半缺乏安全相關訓練，導致開發出的程式可能存在漏 洞，導致駭客得以入侵網頁，進而竄改網頁、植入惡意程式，或偷取資料，他認為，企業網頁開發人員進行網頁程式開發時，應更嚴謹，避免類似事件再次發生。

他並以上(6)月底發生在義大利等歐洲國家，萬餘網站遭入侵的事件為例解釋，駭客已可利用特殊工具包(toolkit)，主動搜尋網站漏洞，進而入侵、竄改網頁內容，甚至造成大規模網災，提醒網頁應用漏洞的普遍性，以及一旦遭駭客利用所可能造成的嚴重後果。

廠商則建議企業採用網頁應用防護裝置來檢測網站漏洞。

例如阿碼科技(Armorize Technologies)即推出網頁應用程式原始碼檢測器CodeSecure Verifier，以自動靜態分析(Automated Static Analysis)技術，提供網頁應用程式開發人員從開發過程到上線後的開發生命週期的原始程式碼分析。

至於NetContinuum、F5與Check Point等廠商，則是推出網頁應用防火牆(Web Application Firewall)，或將其功能整併入如UTM等網路安全硬體中，以阻隔針對網頁應用而來的攻擊的方式，達到保護網頁應用安全性的目標。

OWASP 2007十大Web安全漏洞第四至第十名分別為：應用程式可任意存取檔案的Insecure Direct Object Reference、讓合法使用者執行惡意程式指令卻可能被允許的Cross-Site Request Forgery (CSRF)、錯誤訊息洩露機密資料的Information Leakage and Improper Error Handling、身份驗證功能缺陷的Broken Authentication and Session Management、敏感資料加密不安全或無加密的Insecure Cryptographic Storage、傳輸資料未加密Insecure Communication，以及因無權限控制導致可直接存取資料的Failure to Restrict URL Access。