QSecurity 月度安全评论(2012 年 5 月)

  • 殷钧钧

2012 年 6 月 7 日

话题:安全DevOps语言 & 开发架构

本月的开始,先用几个最新在乌云上公开的安全漏洞作为开胃小菜吧。

http://www.wooyun.org/bugs/wooyun-2010-07738

新蛋中国支付漏洞

通过简单的页面 DOM 操作,即可绕过订单提交验证。将商品数量改为负数,从而使得订单总金额发生“变化”。新蛋算是老牌的电商企业了,还在犯这种错误,确实有点说不过去。看来让每个 web 开发者能清醒认识到服务端验证和客户端验证的区别,以及“所有的用户输入都是邪恶的”这个基本安全概念,还有一段路要走。

http://www.wooyun.org/bugs/wooyun-2010-07634

万网某处用户身份证信息企业信息泄露

我们在上期的QSecurity 专题中刚刚介绍了数据越权访问漏洞(BAC),这里就有一个现成的案例:

http://www.wooyun.org/bugs/wooyun-2010-06184

某政府网站上传身份证泄漏导致批 84

湖南省某政府网站,可以公开下载到所有登记企业法人的身份证信息。该漏洞已有 CNCERT 国家互联网应急中心转交湖南分中心“协调处理”。可是截止到目前为止,该漏洞依然存在。

以上 3 个漏洞肯定不是上个月发生的最严重的安全事件,可是它们的共同点是:漏洞被白帽子主动上报之后很长一段时间都没有得到修复。前两者厂商选择了忽略该漏洞,后者虽然有 CNCERT 跟进,可是处理速度非常不尽如人意。在笔者写这篇文章时,微博上又出现了大面积的某知名电商余额被盗案件。这就是我们的网民目前所处的网络环境,如果厂商、政府和信息服务提供商都不重视用户乃至自身的信息安全,那么我们也只能靠脚(鼠标)投票了。

回到面向开发者的安全内容。首先带来一个好消息,OWASP 用于作为 Web 安全培训的教程项目 WebGoat 在本月发布了它的一个新版本:

http://owasp.blogspot.com/2012/04/webgoat-54-released.html

强烈推荐每一个有 Web 安全培训需求的企业和团队试一试这个目前最好的面向程序员的 Web 安全培训系统。

http://www.clerkendweller.com/2012/5/18/ClientSide-Storage-in-HTML5

接下来是一篇关于 HTML5 客户端存储的文章。客户端存储由于不可避免地涉及到用户隐私和安全性,因此在为 HTML5 提供了更多可用的功能扩展之外,也不可避免受到安全性方面的质疑。

http://www.jtmelton.com/

最后还是忍不住继续推荐 John Melton 老先生的” YEAR OF SECURITY FOR JAVA”系列。最近的几篇文章开始涉及到 Web 安全的一些普适性问题和原则,值得认真拜读。

http://open.bekk.no/owasp-top-10-for-javascript-a2-cross-site-scripting-xss/

这是博客作者 Erlend Oftedal 为了介绍 OWASP Top10 开始写作的系列文章。本月介绍 Top10 的第 2 个重头戏:跨站脚本漏洞(XSS)。

在物理世界中,我们喝的是蒙牛,吃的是皮鞋和地沟油,病了服用的是毒胶囊……本已极度缺乏安全感了。而在网络世界中,为用户建立起最基本的安全感,则需要我们每个 IT 人的共同努力。


给 InfoQ 中文站投稿或者参与内容翻译工作,请邮件至editors@cn.infoq.com。也欢迎大家通过新浪微博(@InfoQ)或者腾讯微博(@InfoQ)关注我们,并与我们的编辑和其他读者朋友交流。

安全DevOps语言 & 开发架构