网站被黑的10大原因

6、信息泄露和错误处理不当

■ 问题：各种应用软件产生并显示给用户看的错误信息对于黑客们来说也是有用的，那些信息可能将用户的隐私信息、软件的配置或者其他内部资料泄露出去。

OWASP说：“各种网络应用软件经常通过详细或者调试出错信息将内部状态信息泄露出去。通常，这些信息可能会导致用户系统受到更有力的攻击。”

■ 真实案例：信息泄露是通过错误处理不当发生的，ChoicePoint在2005年的崩溃就是这种类型的典型案例。攻击者假扮是ChoicePoint的合法用户在公司人员信息数据库中寻找某个人的资料，随后窃取了16.3万个消费者的记录资料。ChoicePoint后来对包含敏感数据的信息产品的销售进行了限制。

■ 如何保护用户：利用测试工具，比如OWASP的WebScarab Project等来查看应用软件出现的错误信息。OWASP说：“未通过这种方法进行测试的应用软件几乎肯定会出现意外错误信息。”

另一个方法是：禁止或者限制在错误处理中使用详细信息，不向用户显示调试信息。

7、不安全的认证和会话管理

■ 问题：如果应用软件不能自始至终地保护认证证书和会话标识，用户的管理员账户就会被攻破。应注意隐私侵犯和认证系统的基础原理并进行有效监控。

OWASP说：“主要验证机制中经常出现各种漏洞，但是攻击往往是通过注销、密码管理、限时登录、自动记忆、秘密问题和账户更新等辅助验证功能展开的。” 

■ 真实案例：微软公司曾经消除过Hotmail中的一个漏洞，恶意Java脚本程序员曾经在2002年利用这个漏洞窃取了许多用户密码。这个漏洞是一家联网产品转售商发现的，包含木马程序的电子邮件可以利用这个漏洞更换Hotmail用户的操作界面，迫使用户不断重新输入他们的密码，并在用户不知情的情况下将它们发送给黑客。

■ 如何保护用户：通信与认证证书存储应确保安全性。传输私人文件的SSL协议应该是应用软件认证系统中的唯一选择，认证证书应以加密的形式进行保存。

另一个方法是：除去认证或者会话管理中使用的自定义cookie。
8、不安全的加密存储设备

■ 问题：虽然加密本身也是大部分网络应用软件中的一个重要组成部分，但是许多网络开发员没有对存储中的敏感数据进行加密。即便是现有的加密技术 
，其设计也是粗制滥造的。

OWASP说：“这些漏洞可能会导致用户敏感数据外泄以及破坏系统的一致性。”.

■ 真实案例：TJX数据失窃案中，被窃取的信用卡和提款卡账号达到了4570万个。加拿大政府调查后认为，TJX未能升级其数据加密系统。

■ 如何保护用户：不要开发你自己的加密算法。最好只使用已经经过审批的公开算法，比如AES、RSA公钥加密以及SHA-256或者更好的SHA-256。

另外，千万不要在不安全渠道上传送私人资料。

OWASP说，现在将信用卡账号保存起来是比较常见的做法，但是明年就是《信用卡行业数据安全标准》发布的最后期限，以后将不再将信用卡账号保存起来。

内容导航

• 第1页：网站被黑的10大原因
• 第2页：网站被黑的10大原因(2)
• 第3页：网站被黑的10大原因(3)
• 第4页：网站被黑的10大原因(4)