常规漏洞导致iPad用户信息泄露

近日，苹果iPad在美唯一运营商合作伙伴——AT&T公司网站的一个安全漏洞被黑客利用，造成大量3G版iPad的用户信息(ICC-ID和电子邮件地址)泄露，其中包括不少财经、政治和媒体界要人的信息。这批被泄露的用户信息总数高达11.4万份，可能包含了3G版iPad发售初期的全部用户。

一个名为Goatse Security的组织曝光了该漏洞，该组织表示，他们是通过AT&T网站的一段脚本获得这些数据的。通过该脚本，任何用户只要在向服务器发送的请求中提供SIM卡卡号，就能够返回关联的电子邮件地址。而根据已知3G版iPad的SIM卡卡号，可以相当轻易地猜测出其他卡号，从而获得大量用户信息。

由于造成了很严重的后果，所以公众普遍认为这是一个严重的漏洞。但在迈克菲首席技术官George Kurtz看来，这个漏洞是一个很常见的Web应用程序漏洞。Web应用程序最常面临的5个威胁是：授权失败、跨站点脚本、跨站点请求伪造 (XSRF)、密码重置功能、SQL注入。他给出了几条建议。

为防止授权失败，会话应该使用基础框架提供的会话容器。为了避免横向权限升级，应用程序需要对主体(用户或群组)、操作(创建、读取、更新、删除)、客体(账号、购物卡ID等)进行三次确认。

为了避免诸如跨站点脚本等数据验证攻击，应采取“深层防御”策略，包括输入验证和输出消毒。

阻止数据验证攻击的第一步就是要验证输入来防止接受任何在该应用程序中或数据终端(也就是浏览器)中有特殊意义的语句。推荐的输入验证方式是“默认拒绝”，只接受含有预期值(也就是白名单)的输入。日常输入验证必须始终检查数据长度、范围、类型和格式。消毒应用程序HTML中的恶意语句与防止跨站点脚本攻击(XSS)同等重要。

要防止XSRF攻击，一种有效的方法就是在每一个可以改变某些外在状态的表格中引入一个“随机数”，或者一次性口令。每次用户加载表格，一个不同的“随机数”就被插入表格中的一个隐藏区域内。当表格提交后，应用程序检查该随机数是否有效，然后再运行所请求的操作。“随机数”可以是现有会话的标识信息，这种信息一般都会附加在每个请求之后。不过，只有当目标应用程序不存在任何XSS漏洞的情况下，这种方法才能有效。

密码重置功能的推荐方法是：

1.这种方法需要用户输入用户名。把下面信息传递给终端用户，“如果用户名与系统中的现有账户吻合，一封写有下一步说明的电子邮件将发至账户所有者的注册电子邮件地址。”

2.这封电子邮件必须含有唯一的、带有时间限制的链接(比如24小时内有效)，而且只能由用户点击一次。

3.点击链接后，用户将看到几个问题。

4.成功回答问题后，用户将被允许修改其密码，同时对应用程序进行授权。

防止SQL注入攻击需要采取“深层防御”策略。第一步是使用白名单方法进行输入验证。除此之外，还需要使用与动态SQL相反的参数查询。