科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道应用安全纳斯达克的Web安全攻防战

纳斯达克的Web安全攻防战

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

纳斯达克拥有数以亿计的有价数据,它对网络黑客来说就像一个聚宝盆。10年来,几乎全球的黑客都在想方设法侵入纳斯达克的网站。

来源:ZDNET安全频道 2011年1月17日

关键字: Web安全 Web应用防火墙

  • 评论
  • 分享微博
  • 分享邮件

在本页阅读全文(共2页)

  为纳斯达克把脉

  反观纳斯达克的Web安全隐患,梭子鱼发现即使是纳斯达克这样技术精良的网站,依旧存在不少风险。对于十种黑客惯用的应用程序漏洞,纳斯达克网站的防护能力也非常薄弱。

  第一,缓存溢出。 由于应用程序的编码会尝试将应用数据存储于缓存中,而不是正常的分配,这种漏洞往往被黑客所利用,变为攻击手段。因为借助这种错误,恶意代码就可以溢出到另外一个缓存中去执行。

  第二.跨站点脚本攻击。攻击类型的代码数据可以被插入到另外一个可信任区域的数据中,最终导致使用可信任的身份来执行攻击,这种攻击方式也是黑客惯用的伎俩。

  第三,服务拒绝攻击。这种攻击会导致服务没有能力为正常业务提供服务。

  第四,异常错误处理的风险。当错误发生时,系统向用户提交错误提示是很正常的事情,但是如果提交的错误提示中包含了太多的内容,就有可能会被攻击者分析出网络环境的结构或配置。

  第五,非法session ID。当session ID没有被正常使用时,攻击者还可以借机破坏Web会话,并且实施多个攻击(通过冒用其他的可信任的凭证),借此来绕开认证机制。

  第六,命令注入。这一问题的风险是,如果系统没有成功的阻止带有语法含义的输入内容,就有可能导致对数据库信息的非法访问。比如,在Web表单中输入的内容(SQL语句),应该保持简单,并且不应该还有可被执行的代码内容。

  第七.弱认证机制的隐患。虽然只要通过正确的开发Web应用就可以轻而易举的避免此问题,但是在众多已经在线使用的应用中,这类问题却十分严重。而一旦黑客利用弱认证机制或者未加密的数据来获得访问,或是破坏、控制数据,就会造成非常严重的影响。

  第八,未受保护的参数传递风险。由于利用统一资源标识符(URL)和隐藏的HTML标记可以传递参数给浏览器,所以浏览器在将HTML传回给服务器之前,是不会修改这些参数的。利用这一破绽的黑客工具现在也比比皆是。

  第九,不安全的存储 - 对于Web应用程序来说,妥善的保存密码,用户名,以及其它与身份验证有关的信息是非常重要的工作。对这些信息进行加密才是最有效的方法。然而,在实际操作过程中。大多企业却总是采用那些未经实践验证的加密解决方案,这些方案本身就充满了漏洞。

  第十,非法输入。在数据被输入程序前忽略对数据合法性的检验,是一个常见的编程漏洞。在对Web应用程序脆弱性的调查中,非法输入问题已经成为大多数Web应用程序的最典型漏洞之一。

  用“透明人”完成Web安全防护

  经过一番研究,梭子鱼为纳斯达克提出了一套更完善的Web安全解决方案。

  首先,梭子鱼采用了专业的应用防火墙,为纳斯达克的Web服务器和Web应用提供全面的保护。和传统防火墙不同,梭子鱼应用防火墙既可防范已知的对 Web 应用系统及基础设施漏洞的攻击,也能抵御住恶意攻击或是目标攻击。通过梭子鱼应用防火墙的专利技术,纳斯达克的网站还能对HTTP请求进行终止、防护和加速的操作。

  此外,梭子鱼产品的动态学习功能,可以自主的与纳斯达克网站的Web服务器互相通信,实时地自动学习和策略建模。由于梭子鱼应用防火墙具备实时策略向导功能,能够协助管理员自定义策略,同时让管理员对当前的策略拥有完全的掌控权,所以所有违背ACL的行为都可以被纳斯达克的网络管理人员捕捉到。

  由于通过使用缓存、压缩、TCP连接复用、负载均衡等各种技术对后台Web服务器进行了流量的优化,所以部署在纳斯达克的Web服务器前端的梭子鱼应用防火墙对用户的体验没有造成任何影响,就像是个“透明”的安全卫士。在管理过程中,增减设备对网络几乎完全没有影响。这为纳斯达克在将来对网站的扩容带来了极大的益处。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章