Mcafee专家谈iPad泄密与Web应用安全

导读:本文的作者是迈克菲(mcafee)首席技术官,我们来看他对iPad泄密与Web应用安全的一些观点和看法,相信会对我们启发良多,特别是对于正在使用iPad的用户,加强自己的iPad的安全应用有帮助作用。

我有一台iPad，实际上是两台，对此我感到很自豪。我的电子邮件地址也有很多人知道，而且经常有人向我发出请求，想要知道我的邮件地址。我猜他们一定发现像这样得到我的邮件地址不费吹灰之力。所以，前两天iPad泄露现有11.4万用户信息时，为什么会引起那么大的骚动？

注释：作者George Kurtz，现为迈克菲首席技术官。

George Kurtz

让我们来看看到底发生了什么。

一个名为Goatse Security的黑客团伙发现了AT&T网站的一个安全漏洞，窃取了用户的ICC-ID(Integrated Circuit Card ID，IC卡识别码)并取得了与之相连的电子邮件地址。接下来，他们利用一段PHP代码反复向AT&T网站提供大量ICC-ID，然后取得相关电子邮件地址。就这样，他们得到了预计11.4万ICC-ID及其相关电子邮件地址。

我觉得大家都会觉得这是个问题，而且是个普遍存在的问题。在我们Foundstone的安全顾问服务中，经常会遇到我们称之为“信息公开”漏洞的问题。通过搜集用户或企业的这些信息，可以全面了解其正在使用的技术或用户行为。同时借助社会工程技术，就可以有效的获取一些原本无法得到的企业资源。

然而，这样的漏洞根本不算是最严重的漏洞。我们发现主要问题在于在Web应用程序的身份认证系统存在故障。也就是说，用户会话需要避免横向权限升级，因为横向权限升级将允许攻击者得到另一用户信息。所以，与其说这是iPad的漏洞问题，不如说是我们在进行应用安全评估时经常遇到的普通问题。

鉴于这个漏洞利用了一个Web应用程序缺陷，我认为应该总结一下在应用安全评估时最常见的5个问题。

跨站点脚本 (XSS)

跨站点脚本攻击需要攻击者在应用程序的数据领域中输入恶意代码（通常是Java脚本），而这些数据领域对该应用程序的其他用户而言也是可见的。当受害用户浏览该数据领域时，该Java脚本就在该用户浏览器中运行，并执行一些对攻击者有用的功能。反向XSS攻击通常用来进行钓鱼攻击。

跨站点请求伪造 (XSRF)

跨站点请求伪造攻击（也叫XSRF，CSRF，或者会话控制）允许恶意用户执行对攻击者选定的用户会话的操作，从而泄露用户信息。这类攻击利用了HTTP无状态的弱点。 

转截请注明:文章来自 pc捍卫者 http://www.pchwz.com 本站发布此文为传递更多信息之目的,不表明pc捍卫者赞同其观点