关闭窗口
首页
厅长之窗 李春燕 李江河 赖厚明 吴海平 熊远国 唐国栋
机构设置及职能 厅办公室 综合规划处 科学技术处 无线电管理处 信息化推进处 网络及通信管理处 机关党委(人事处) 纪检组(监察室) 机关后勤服务中心
工作动态 综合动态 电子信息产品制造业动态 软件业动态 无线电管理动态 信息化推进动态
公告公示 公告 无线电管理公告 电子信息产品制造业公告 软件业公告 信息化推进公告
领导讲话 部省领导讲话 厅领导讲话 李春燕 李江河 赖厚明 吴海平 熊远国 唐国栋 年度工作报告 其他
政府文件 赣信人 赣信字 赣信综 赣信科 赣信无 赣信信 赣信监 <赣信发 赣信厅办 赣信党字
工作简报 信息产业厅大事记 厅简报 专项工作简报 专项工作简报 政务双评 保持共产党先进性教育 惩治商业腐败
政策法规 法律 行政法规 部门规章 地方性法规 省政府规章 无线电管理专门法律法规 规范性文件 法律法规 频率台站管理规定 设备管理规定 收费规定 规章制度
统计信息 全国通信行业运行情况 我省电子信息产业经济运行情况 我省软件产业经济运行情况 我省无线电台登记情况
人事教育 人才招聘 人事教育 文件选编 文件选编
纪检监察 工作部署 党纪法规 动态信息 警示教育
规划部署 电子信息产品制造业规划部署 软件业规划部署 无线电管理规划部署 信息化规划部署
产业动态 电子信息产品制造业动态 软件业动态 信息化推进动态 无线电管理业动态
知识园地 电子信息产品制造业知识 软件业知识 信息化知识 无线电知识
频道首页
政务公开指南
行政执法目录
办事项目 综合规划处 科学技术处 信息化推进处 无线电管理处
相关法规文件
办结通知
行政处罚
收费标准
数据库查询
频道首页
厅长信箱
行政投诉中心
信访、纠风热线
纪检举报
便民服务
常见问题 办公室 综合规划处 科学技术处 无线电管理处 信息化推进处 人事处 省无线电监测站 其他问题
民意调查
便民服务
数据库查询
网站群导航 网站全目录 繁體 简体 收藏本页 设为首页 电子信息产品制造业 软件业 无线电管理 信息化推进
首页 | 机构设置 | 政策法规 | 政府文件 | 领导讲话 | 规划部署 | 工作动态 | 公告公示 | 产业动态 | 专项资金 | 统计信息 | 工作简报 | 人事教育 | 纪检监察 | 知识园地
 您现在的位置: 江西信息产业厅 >> 政务公开 >> 产业动态 >> 软件业动态 >> 安全资讯 >> 文章正文

  Web 2.0露出黑暗一面 web新技术帮助黑客入侵系统 打印此文【字体:
Web 2.0露出黑暗一面 web新技术帮助黑客入侵系统
作者:不详    文章来源:FT中文网    点击数:    更新时间:2006-8-16
 
nbsp;   尽管Web 2.0这些技术和工具会带来新的自由,但也成为病毒编写者和个人身份信息盗窃者的“新天地”。 (作者:英国《金融时报》克里斯 纳托尔(Chris Nuttall))

    在病毒编写者与他们的对手——互联网安全公司的较量中,Web 2.0光辉新世界的黑暗面正在暴露。

    这种融合了互联、共享和实时更新的网页技术,被冠以“第二代互联网”的称号,然而,它也成为企图向这个混合体注入恶意代码的入侵者的沃土。

    微软一度是最主要的攻击对象,其文字处理程序、浏览器和操作系统中的薄弱环节被利用,但随着入侵者把注意力从电脑桌面程序转向web应用程序,谷歌(Google)、雅虎(Yahoo)和MySpace现在也同样可能受到攻击。

    浏览器:Web 2.0主角

    在Web 2.0环境,许多活动在浏览器内进行。举例来说,谷歌用户可在网页填写电子数据表、进行文字处理,而其日历和电子邮件收件箱的更新方式,与使用基于硬盘的微软Office套装软件相同。

    区别在于,信息被不断嵌入网页,这些网页从谷歌服务器传送到用户浏览器,最常用的浏览器是Internet Explorer或火狐(Firefox)。

    Web 2.0也代表社会软件(social software),包括维基(wiki)、博客(blog)、简易供稿(RSS)新闻源、标签(tagging)和社区站点。它是一个宽容的社区,用户可以自由地相互借用、添加并混合数据。

    尽管这些技术和工具会带来新的自由,但也成为病毒编写者和个人身份信息盗窃者的“新天地”。

    Web 2.0对恶意软件(malware)开发者的吸引力,部分在于运行Web 2.0的后台程序的复杂性。Ajax(异步JavaScript和XML)是一系列用来使网页更具互动性的技术的总称。运用这些技术,网页与服务器可自动交换少量数据,以刷新部分网页(如不断变化的股价或比分),让网页“活”起来。

    “编写JavaScript代码约有100种不同的方法,火狐和Internet Explorer各有50种,”BreakingPoint Systems的安全研究主管HD?摩尔(HD Moore)称。“问题在于,很难区分善意与恶意代码。”

    雅虎遇袭

    6月份,一名病毒编写者用雅虎的web电邮服务发出了一封隐含某种JavaScript代码的邮件,使雅虎的网页邮件服务遭到“恶意代码”的冲击。由于雅虎允许网页执行JavaScript,因此其邮件系统很容易受到Yamanner蠕虫病毒的攻击。

    任何打开邮件的人都激活了脚本,这些脚本向用户的地址簿发出请求,然后将蠕虫病毒发给地址簿中的每个人,其目的也许是为散布垃圾邮件而收集邮件地址。

     “如果没有Ajax,Yamanner蠕虫病毒就不可能发生,”SPI Dynamics安全研究员比利?霍夫曼(Billy Hoffman)称。

    “令人害怕的是,在雅虎看来,没有什么危险的事发生,用户只不过创建并发送了一封邮件。浏览器也一样,发现了某个Java脚本,就运行了它,而最终用户对此也无能为力。”

    上月,谷歌RSS阅读器也发现了类似的缺陷。谷歌采用了JavaScript技术,以便用户能够为阅读器添加新闻源,而一位安全专家能够向新闻源地址添加数据,从而使浏览器连向另一个网站。如果带有恶意目的,所连向的可能是欺骗用户吐露个人信息的网络钓鱼(phishing)网站。

    跨站脚本漏洞

    网络安全业内将Web 2.0网站内的这些编码缺陷,称为跨站脚本(XSS)或跨站脚本漏洞。

    近期利用跨站脚本漏洞的最著名事件,是去年10月份MySpace网站遭到的相对良性攻击。MySpace是如今最大的社交网站,用户人数达5400万。

    19岁的洛杉矶软件开发员“Samy”编写了一段蠕虫程序,令他获得了逾100万网上“好友”,直至MySpace使该程序失效。他在自己的MySpace简介里,置入一段JavaScript代码,这样每个查看简介的人会在不知不觉中执行这段代码。这段代码把他列为该用户的好友之一,而在通常情况下,列为好友需要得到该用户的同意,但他写的蠕虫使用Ajax技术,使之在后台批准他的请求。

    接着,该蠕虫会打开该用户自己的简介,把恶意代码复制进去,并把Samy添加到那里的任何英雄列表中,还附上一句话:“但Samy是我最敬佩的英雄”。同样,任何查看该用户简介的人也会被感染,这样Samy的名声和“人气”迅速扩大到100万MySpace会员。

    此时,该网站的管理员才发觉大量活动,被迫将MySpace关闭数小时,以清除该蠕虫病毒。

    “在后台袭击MySpace、谷歌和雅虎的是跨站脚本,”计算机安全公司iSEC Partners主合伙人亚历克斯?斯坦默斯(Alex Stamos)说。“你可以通过脚本的输入输出过滤来进行阻挡。在传统的Web 1.0世界里,要处理的只有一大张以标准超文本标识语言(HTML)编写的网页,因此要把这些脚本阻挡在外并不难。”

    但在Web 2.0中,插入脚本的方式如此之多,以至于进行阻挡要难得多,他说道。编写web应用的人,再也不能只用现成的过滤器了。

    “24小时读完一本Ajax的书”

    “你必须培训开发人员,”SPI的霍夫曼先生说。“围绕Ajax的炒作正导致一个问题:人们看到了MySpace的成功而纷纷采用Ajax技术。他们24小时内读完一本如何学会Ajax的书,然后创建一个存在安全隐忧的网站。”

    此类初创网站得到了Ajax“框架”的帮助,“框架”就是现成的Web 2.0程序包。“利用Ajax框架的理念就是,你不必理解它如何运行。但我们的观点是,如果不知道它如何运行,你就不知道如何安全地使用它,”斯坦默斯表示。

    他的公司探索了一些漏洞,当用户打开多个浏览器窗口,并在一个窗口里访问一个恶意站点时,可能导致在另一个窗口获得信息,并执行脚本。

    SPI向一家网上股票经纪商展示了它所创建的恶意软件,该软件冒充会员身份,买卖他们的股票,并清空其银行账户。

    程序开发人员将谷歌本地搜索(Google Maps)等应用,与在线分类广告服务网站Craigslist的广告结合起来,给出待售房产的位置信息,此类混合技术(mash-up)意味着,安全问题已扩展到不同的应用程序中。在RSS阅读器中聚合新闻源,并将用户对新闻条目所作的评论包含进去,这种做法也增加了引入恶意代码的概率。

    然而,许多Web 2.0初创网站规模太小,无法把很多时间花在安全问题上。“在Web 1.0时代,安全性姗姗来迟,并且总是落在后面,这很正常,”斯坦默斯说。

     “你不可能找到一个风险投资家,对他说你将拥有最安全的混合技术站点,然后得到2000万美元。你应该说,你将提供最酷的互动方式,这才会使你得到资助。”
 
文章录入:高琨    责任编辑:高琨 


相关文章:
百度B2B初定商道 内部称免费的阿里
世芯电子加入POWER FORWARD INITIATIVE,CPF格式助力低功耗设计
赛灵思65nm Virtex-5系列第四款平台开始送样,率先集成PowerPC 440处理器模块
UCWEB协助中国三大运营商推动手机上网业务
高通与华为合作开发高级UMTS Node B接收器技术
爱立信为奥地利Liwest Kabelmedien提供EDA宽带技术
嵌入式CPU惊现West Bridge,赛普拉斯“芯片伴侣”将一统接口江湖?
泰克将在NAB 2008上展示新技术,支持当今的多个数字电视广播标准
安德鲁发布OneBase InSite产品系列,规避网络故障
Vishay发布两款Power Metal Strip电阻,采用3921及5931封装
六度理论植入B2C领域电子商务欲寻求突破
Facebook病毒入侵谷歌 Reader和Picasa
千万网站采用谷歌Web服务器软件
微软正式推出 Web 版 Office
微软正式推出 Web 版 Office
UCWEB浏览器功能扩展插件UC桌面内测版发布
聊天新方式:QQ邮箱将支持Web聊天
恶意软件伪Youtube视频感染Facebook
Skype与eBay不合 将有可能被出售
从黑客常用的攻击手段分析WEB防护
  • 上一篇文章:

  • 下一篇文章:
    • 政务公开的内容
    服务承诺
    监督检查
    政务详细指南
    行政执法主体
    行政执法依据目录
    政务详细指南
    无线电频率指配
    无线电台(站)设置审批
    船舶、机车、航空器上的制式无线电台(站)强制备案
    无线电台(站)呼号指配
    无线电发射设备进关核准
    建立卫星通信网和设置卫星地球站审批
    无线电发射设备型号初审
    卫星电视广播地面接收设备的定点生产许可的初审
    申请军工电子装备科研生产许可证的推荐
    计算机信息系统集成资质认定的初审
    信息系统工程监理资质认证
    信息系统工程监理工程师资质认定的初审
    作弊录音
    执业资格考试(认定)合…
    2008年上半年软考系统分…
    2008年上半年软考信息系…
    2008年上半年软考信息系…
    2008年上半年软考信息系…
    2008年上半年软考网络工…
    2008年上半年软考数据库…
    2008年上半年软考软件设…
    2008年上半年软考软件评…
    关于我厅 | About Jxdii | 法律声明 | 个人隐私声明 | 网站帮助 | 网站地图 | 电子邮局 | 个性化订阅 | 问卷调查 | 旧版网站回顾

    Copy-right © 2000 - 2009 JXDII GOV.All Rights Reserved

    主办单位:江西省信息产业厅 地址:江西省政府大院北二路102号 邮编:330046 联系电邮:master@jxdii.gov.cn
    赣洪备2-4-3-0856214