QSecurity 月度安全评论（2012 年 5 月）

本月的开始，先用几个最新在乌云上公开的安全漏洞作为开胃小菜吧。

http://www.wooyun.org/bugs/wooyun-2010-07738

新蛋中国支付漏洞

通过简单的页面 DOM 操作，即可绕过订单提交验证。将商品数量改为负数，从而使得订单总金额发生“变化”。新蛋算是老牌的电商企业了，还在犯这种错误，确实有点说不过去。看来让每个 web 开发者能清醒认识到服务端验证和客户端验证的区别，以及“所有的用户输入都是邪恶的”这个基本安全概念，还有一段路要走。

http://www.wooyun.org/bugs/wooyun-2010-07634

万网某处用户身份证信息企业信息泄露

我们在上期的 QSecurity 专题中刚刚介绍了数据越权访问漏洞（BAC），这里就有一个现成的案例：

http://www.wooyun.org/bugs/wooyun-2010-06184

某政府网站上传身份证泄漏导致批 84

湖南省某政府网站，可以公开下载到所有登记企业法人的身份证信息。该漏洞已有 CNCERT 国家互联网应急中心转交湖南分中心“协调处理”。可是截止到目前为止，该漏洞依然存在。

以上 3 个漏洞肯定不是上个月发生的最严重的安全事件，可是它们的共同点是：漏洞被白帽子主动上报之后很长一段时间都没有得到修复。前两者厂商选择了忽略该漏洞，后者虽然有 CNCERT 跟进，可是处理速度非常不尽如人意。在笔者写这篇文章时，微博上又出现了大面积的某知名电商余额被盗案件。这就是我们的网民目前所处的网络环境，如果厂商、政府和信息服务提供商都不重视用户乃至自身的信息安全，那么我们也只能靠脚（鼠标）投票了。

回到面向开发者的安全内容。首先带来一个好消息，OWASP 用于作为 Web 安全培训的教程项目 WebGoat 在本月发布了它的一个新版本：

http://owasp.blogspot.com/2012/04/webgoat-54-released.html

强烈推荐每一个有 Web 安全培训需求的企业和团队试一试这个目前最好的面向程序员的 Web 安全培训系统。

http://www.clerkendweller.com/2012/5/18/ClientSide-Storage-in-HTML5

接下来是一篇关于 HTML5 客户端存储的文章。客户端存储由于不可避免地涉及到用户隐私和安全性，因此在为 HTML5 提供了更多可用的功能扩展之外，也不可避免受到安全性方面的质疑。

http://www.jtmelton.com/

最后还是忍不住继续推荐 John Melton 老先生的” YEAR OF SECURITY FOR JAVA”系列。最近的几篇文章开始涉及到 Web 安全的一些普适性问题和原则，值得认真拜读。

http://open.bekk.no/owasp-top-10-for-javascript-a2-cross-site-scripting-xss/

这是博客作者 Erlend Oftedal 为了介绍 OWASP Top10 开始写作的系列文章。本月介绍 Top10 的第 2 个重头戏：跨站脚本漏洞（XSS）。

在物理世界中，我们喝的是蒙牛，吃的是皮鞋和地沟油，病了服用的是毒胶囊……本已极度缺乏安全感了。而在网络世界中，为用户建立起最基本的安全感，则需要我们每个 IT 人的共同努力。

给 InfoQ 中文站投稿或者参与内容翻译工作，请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博（ @InfoQ ）或者腾讯微博（ @InfoQ ）关注我们，并与我们的编辑和其他读者朋友交流。