飞天发布时刻:2024年 Forrester 公有云平台Wave™评估报告解读 了解详情
写点什么

QSecurity 月度安全评论(2012 年 5 月)

  • 2012-06-07
  • 本文字数:1220 字

    阅读完需:约 4 分钟

本月的开始,先用几个最新在乌云上公开的安全漏洞作为开胃小菜吧。

http://www.wooyun.org/bugs/wooyun-2010-07738

新蛋中国支付漏洞

通过简单的页面 DOM 操作,即可绕过订单提交验证。将商品数量改为负数,从而使得订单总金额发生“变化”。新蛋算是老牌的电商企业了,还在犯这种错误,确实有点说不过去。看来让每个 web 开发者能清醒认识到服务端验证和客户端验证的区别,以及“所有的用户输入都是邪恶的”这个基本安全概念,还有一段路要走。

http://www.wooyun.org/bugs/wooyun-2010-07634

万网某处用户身份证信息企业信息泄露

我们在上期的 QSecurity 专题中刚刚介绍了数据越权访问漏洞(BAC),这里就有一个现成的案例:

http://www.wooyun.org/bugs/wooyun-2010-06184

某政府网站上传身份证泄漏导致批 84

湖南省某政府网站,可以公开下载到所有登记企业法人的身份证信息。该漏洞已有 CNCERT 国家互联网应急中心转交湖南分中心“协调处理”。可是截止到目前为止,该漏洞依然存在。

以上 3 个漏洞肯定不是上个月发生的最严重的安全事件,可是它们的共同点是:漏洞被白帽子主动上报之后很长一段时间都没有得到修复。前两者厂商选择了忽略该漏洞,后者虽然有 CNCERT 跟进,可是处理速度非常不尽如人意。在笔者写这篇文章时,微博上又出现了大面积的某知名电商余额被盗案件。这就是我们的网民目前所处的网络环境,如果厂商、政府和信息服务提供商都不重视用户乃至自身的信息安全,那么我们也只能靠脚(鼠标)投票了。

回到面向开发者的安全内容。首先带来一个好消息,OWASP 用于作为 Web 安全培训的教程项目 WebGoat 在本月发布了它的一个新版本:

http://owasp.blogspot.com/2012/04/webgoat-54-released.html

强烈推荐每一个有 Web 安全培训需求的企业和团队试一试这个目前最好的面向程序员的 Web 安全培训系统。

http://www.clerkendweller.com/2012/5/18/ClientSide-Storage-in-HTML5

接下来是一篇关于 HTML5 客户端存储的文章。客户端存储由于不可避免地涉及到用户隐私和安全性,因此在为 HTML5 提供了更多可用的功能扩展之外,也不可避免受到安全性方面的质疑。

http://www.jtmelton.com/

最后还是忍不住继续推荐 John Melton 老先生的” YEAR OF SECURITY FOR JAVA”系列。最近的几篇文章开始涉及到 Web 安全的一些普适性问题和原则,值得认真拜读。

http://open.bekk.no/owasp-top-10-for-javascript-a2-cross-site-scripting-xss/

这是博客作者 Erlend Oftedal 为了介绍 OWASP Top10 开始写作的系列文章。本月介绍 Top10 的第 2 个重头戏:跨站脚本漏洞(XSS)。

在物理世界中,我们喝的是蒙牛,吃的是皮鞋和地沟油,病了服用的是毒胶囊……本已极度缺乏安全感了。而在网络世界中,为用户建立起最基本的安全感,则需要我们每个 IT 人的共同努力。


给 InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ )或者腾讯微博( @InfoQ )关注我们,并与我们的编辑和其他读者朋友交流。

2012-06-07 02:413134

评论

发布
暂无评论
发现更多内容

尚硅谷SSM项目视频发布

小谷哥

流量控制--MQTT 5.0新特性

EMQ映云科技

物联网 IoT mqtt 流量控制 企业号 3 月 PK 榜

「降本」有可能,「增效」不确定

Java 架构 程序人生 职场

Android通用缓存存储设计实践

杨充

二本毕业,靠学姐帮助混进大厂,女朋友却离我而去

程序员晚枫

程序员 女朋友 大厂 校招

读者1群辛辣反馈,关于《中国式SaaS有没有希望(能赚钱吗)?|内行深度PK ​》

B Impact

模块一作业

只因

架构训练营

阿里云与 Kubecost 合作,容器服务 ACK 支持使用 Kubecost 进行成本管理

阿里巴巴云原生

阿里云 云原生 容器服务

稳中求进的转折之年,企业如何重启“增长飞轮”?

脑极体

京东

轻量级、简化、QDSAA—特斯拉 IT风格曝光160p Investor Day完整PPT

B Impact

Chrome 无魔法使用新必应(New Bing)聊天机器人

kcodez

chrome ChatGPT newbing 新必应

IoTLink 版本更新 v1.8.0

山东云则信息科技

物联网平台 物联网 springboot

自动化离线交付在云原生的应用和思考

京东科技开发者

云原生 离线 企业号 3 月 PK 榜 自动化交付

阿里云函数计算 FC 助力高德 RTA 广告投放系统架构升级

阿里巴巴云原生

阿里云 云原生 函数计算

OpenYurt 在龙源 CNStack 云边协同项目的应用

阿里巴巴云原生

阿里云 开源 云原生 openyurt

基于声网 Flutter SDK 实现多人视频通话

声网

flutter RTC RTE 视频通话

MSE 诊断利器上线

阿里巴巴云原生

阿里云 云原生 微服务引擎

3DCAT+一汽奥迪:共建线上个性化订车实时云渲染方案

3DCAT实时渲染

实时云渲染 实时渲染云 3D实时云渲染

ListView的数据更新问题

芯动大师

ListView 数据更新 demo源码

支付宝小程序迁移至 FinClip

FinClip

TCL 拥抱云原生,实现 IT 成本治理优化

阿里巴巴云原生

阿里云 云原生 IT IT治理

当TO B客户说“没有预算”时,怎么卖SaaS|SaaStr观点

B Impact

尚硅谷Java课程进化升级

小谷哥

【MapStruct】引入MapStruct之后,项目启动java:找不到符号

No8g攻城狮

springboot 异常处理

配运基础数据缓存瘦身实践

京东科技开发者

数据库 redis 缓存 key 企业号 3 月 PK 榜

字节跳动新一代云固件Cloud Firmware 2.0来啦

字节跳动技术范儿

云计算 Linux OCP

架构实战营模块三作业

null

使用NineData构建任意时间点(PITR)数据恢复能力

NineData

开发者 数据恢复 dba 数据备份 全量同步

Vue 项目如何迁移小程序

FinClip

尚硅谷禹神版前端入门教程发布

小谷哥

QSecurity月度安全评论(2012年5月)_安全_殷钧钧_InfoQ精选文章