您的位置: 网界网 > 周报全文 > 正文

[周报全文]应用安全的“军备竞赛” (上)

2007年07月11日 10:57:44 | 作者:孙红英 | 来源:$page.getBroMedia() | 查看本文手机版

摘要:黑客与开发人员在应用程序安全方面的较量正在发展成一场“军备竞赛”,尽管软件开发有了很多改进,但恶意软件仍然不断找到新的漏洞来发起攻击。难道安全漏洞将成为应用程序无法避免的宿命吗?

标签
应用安全
 

【CNW.com.cn 专稿】黑客与开发人员在应用程序安全方面的较量正在发展成一场“军备竞赛”,尽管软件开发有了很多改进,但恶意软件仍然不断找到新的漏洞来发起攻击。难道安全漏洞将成为应用程序无法避免的宿命吗?

无法回避的“军备竞赛”

越来越多的攻击发生在应用程序的漏洞上,应用程序安全防护解决方案也因此而迅速发展。每天,我们都能发现新的威胁、攻击技术和漏洞类型。此外,由于媒体对网络威胁以及它与全球性事件(如恐怖主义和犯罪活动)关联性的报道,人们开始对应用程序安全问题给予了前所未有的密切关注。尽管如此,核心 Internet 软件和常见客户端应用程序中的关键漏洞还是不断出现。事实上,在过去短短几年里,被发现的关键漏洞数量不但没有减少反而在不断增加。

这一趋势提出了一个无法回避的问题:究竟是什么原因导致如今的漏洞比以往要多?如果现在的应用程序开发人员都接受了更好的安全教育,他们编写的代码也经过了更严格的安全测试,那么,被发现的漏洞数应该有所下降才对。但答案令人担忧:应用程序安全成为了一场“军备竞赛”,黑客与软件开发人员在竞相你追我赶。随着更多有关计算机软件 bug 的本质以及如何利用这些 bug 进行攻击的信息被逐步公开,黑客可以利用这些信息来帮助他们寻觅目标,以发现曾被视为安全的软件组件中的漏洞。此外,开发人员并未做到尽善尽美,他们的错误可能会导致由已知 bug 引发的漏洞攻击问题。于是,最终的结果就是——我们面临着一个充斥着各种软件问题,并且不断加重的不安全的Internet

认识到这种无止境的“军备竞赛”后,安全产品开发界已经开始尝试研发一些能减轻软件漏洞造成的威胁的技术——基于这样一种理念:bug 很难避免,但在某些情况下,要攻击它们非常困难或根本无法攻击。尽管如此,当遇到新的防护措施时,黑客决不会轻言放弃。他们或者想方设法绕过这些障碍,或者会去寻找那些未得到良好保护的目标。主机得到的保护的确比以前更加完善。但这远不能解决所有的问题。那么,未来的情况将会怎样?以下就是我们对未来几年可能的发展趋势的看法。

Web 技术

将来,Web 会继续成为一个主要的攻击目标,而且它遭受攻击的程度可能远比现在要大。为什么这些不法之徒如此青睐 Web?原因很简单,开放的 Web 功能为攻击者破坏企业创造了大量机会。

Web具备成为首选攻击目标的所有条件:它是面向公众的,未经验证和完全匿名的用户可以利用它们的大型代码库,而且开放的Web应用程序没有对安全问题进行有效的控制。许多Web应用程序和脚本是由小型设计公司和咨询公司开发的,他们中很多人对在Web环境中可能产生的微妙的安全问题所知甚少。尽管这种情况随着对开发人员培训的增多而有所改观,但由于Web框架和技术的飞速发展,Web开发人员仍处于弱势。

多年来,已知的几种破坏Web站点的攻击手段有:SQL 注入、跨站脚本(XSS)类攻击、HTTP响应指向、事故代码评估、文件包漏洞、未受保护的servlet访问、会话窃取、过期页面访问等。Web开发人员开始学会如何应对一些最主要的攻击(主要是SQL注入和XSS),但其他问题在一段时间内仍将继续存在。同时,更复杂的Web应用程序也越来越常见。这可能导致更多目前尚未发现的更复杂或更独特的问题出现。

例如,AJAX和其他对象序列化框架的广泛使用会产生过期对象、序列化/反序列化本身的分析错误、意外的继承性问题等。使用XML也可能导致XML注入 —带来一些值得关注的结果。最后,我们还看到目前出现了一种趋势,即采用多种其他协议而不是HTTP协议,这样做背后的理念是增强基于 Web 的应用,提供不会影响外围防火墙的功能。开发人员的确实现了这些目标,但却将大量新的未测试功能通过对黑客有利的方式暴露出来。

28.gif

12
[责任编辑:程永来 cheng_yonglai@cnw.com.cn]