写点什么

QSecurity 月度安全评论(2012 年 5 月)

  • 2012-06-07
  • 本文字数:1220 字

    阅读完需:约 4 分钟

本月的开始,先用几个最新在乌云上公开的安全漏洞作为开胃小菜吧。

http://www.wooyun.org/bugs/wooyun-2010-07738

新蛋中国支付漏洞

通过简单的页面 DOM 操作,即可绕过订单提交验证。将商品数量改为负数,从而使得订单总金额发生“变化”。新蛋算是老牌的电商企业了,还在犯这种错误,确实有点说不过去。看来让每个 web 开发者能清醒认识到服务端验证和客户端验证的区别,以及“所有的用户输入都是邪恶的”这个基本安全概念,还有一段路要走。

http://www.wooyun.org/bugs/wooyun-2010-07634

万网某处用户身份证信息企业信息泄露

我们在上期的 QSecurity 专题中刚刚介绍了数据越权访问漏洞(BAC),这里就有一个现成的案例:

http://www.wooyun.org/bugs/wooyun-2010-06184

某政府网站上传身份证泄漏导致批 84

湖南省某政府网站,可以公开下载到所有登记企业法人的身份证信息。该漏洞已有 CNCERT 国家互联网应急中心转交湖南分中心“协调处理”。可是截止到目前为止,该漏洞依然存在。

以上 3 个漏洞肯定不是上个月发生的最严重的安全事件,可是它们的共同点是:漏洞被白帽子主动上报之后很长一段时间都没有得到修复。前两者厂商选择了忽略该漏洞,后者虽然有 CNCERT 跟进,可是处理速度非常不尽如人意。在笔者写这篇文章时,微博上又出现了大面积的某知名电商余额被盗案件。这就是我们的网民目前所处的网络环境,如果厂商、政府和信息服务提供商都不重视用户乃至自身的信息安全,那么我们也只能靠脚(鼠标)投票了。

回到面向开发者的安全内容。首先带来一个好消息,OWASP 用于作为 Web 安全培训的教程项目 WebGoat 在本月发布了它的一个新版本:

http://owasp.blogspot.com/2012/04/webgoat-54-released.html

强烈推荐每一个有 Web 安全培训需求的企业和团队试一试这个目前最好的面向程序员的 Web 安全培训系统。

http://www.clerkendweller.com/2012/5/18/ClientSide-Storage-in-HTML5

接下来是一篇关于 HTML5 客户端存储的文章。客户端存储由于不可避免地涉及到用户隐私和安全性,因此在为 HTML5 提供了更多可用的功能扩展之外,也不可避免受到安全性方面的质疑。

http://www.jtmelton.com/

最后还是忍不住继续推荐 John Melton 老先生的” YEAR OF SECURITY FOR JAVA”系列。最近的几篇文章开始涉及到 Web 安全的一些普适性问题和原则,值得认真拜读。

http://open.bekk.no/owasp-top-10-for-javascript-a2-cross-site-scripting-xss/

这是博客作者 Erlend Oftedal 为了介绍 OWASP Top10 开始写作的系列文章。本月介绍 Top10 的第 2 个重头戏:跨站脚本漏洞(XSS)。

在物理世界中,我们喝的是蒙牛,吃的是皮鞋和地沟油,病了服用的是毒胶囊……本已极度缺乏安全感了。而在网络世界中,为用户建立起最基本的安全感,则需要我们每个 IT 人的共同努力。


给 InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ )或者腾讯微博( @InfoQ )关注我们,并与我们的编辑和其他读者朋友交流。

2012-06-07 02:413167

评论

发布
暂无评论
发现更多内容

租金、物业费的催收困境,如何解决?

IT资讯搬运工

翻译|使用 StatefulSet 运行数据库应用

RadonDB

数据库 Kubernetes RadonDB

文本纠错:提升OCR任务准确率的方法

合合技术团队

人工智能 文字识别 OCR 合合信息

呐,HTTP接口安全的八种对策送给你了

知识浅谈

HTTP API 8月月更

云原生 SIG:关于 Koordinator 混部原理及最佳实践 | 第 43 期

OpenAnolis小助手

开源 云原生 混部 sig 龙蜥大讲堂

​Black Hat 2022 聚焦软件供应链安全

SEAL安全

网络安全 软件供应链安全

开源一夏 | 使用layui框架实战之栅格系统和菜单评分组件运用心得

恒山其若陋兮

开源 8月月更

Go-Excelize API源码阅读(十九)——SetHeaderFooter

Regan Yue

Go 开源 源码解析 8月日更 8月月更

算法之“杨辉三角”题解

掘金安东尼

算法 前端 8月月更

技术分享| anyRTC 8月更新迭代

anyRTC开发者

音视频 WebRTC 视频通话 实时消息 抓拍图片

何去何从的并行计算

博文视点Broadview

电商行业:全链路监测广告投放效果,用数据驱动业务增长

HarmonyOS SDK

分析 电商营销

图灵8月书讯 | 10 本新书上市,本本精选

图灵社区

新书推荐

解决 NGINX LDAP 参考实施中的安全问题

NGINX开源社区

nginx HTTP 安全漏洞 ldap 身份验证

云原生(二十四) | Kubernetes篇之Kubernetes 配置

Lansonli

云原生 k8s 8月月更

面试突击77:Spring 依赖注入有几种?各有什么优缺点?

王磊

Java 常见面试题

英伟达首席科学家:深度学习硬件的过去、现在和未来

OneFlow

机器学习 深度学习 硬件

公众版与政企版,这两款云电脑我都要!

天翼云开发者社区

MobTech ShareSDK 高级接口及配置

MobTech袤博科技

android MobTech袤博科技 sharesdk

从零到一,教你搭建「以文搜图」搜索服务(一)

Zilliz

人工智能 机器学习 深度学习

GaussDB(DWS)如何实现实时,批量和交付式查询一站式开发

乌龟哥哥

8月月更

[JS真好玩] 我帮掘金找到了一个小Bug,可利用该Bug增加专栏粉丝数

HullQin

CSS JavaScript html 前端 8月月更

Kubernetes资源编排系列之五: OAM篇

阿里云大数据AI技术

运维 开放应用模型

揭秘百度智能测试在测试分析领域实践

百度Geek说

测试 数据 用例

Linux常用命令

楠羽

短视频软件开发:推荐算法没有想象的那么复杂

开源直播系统源码

直播系统 直播系统源码 短视频直播

如何应对软件可变性?这4种常用的方法肯定要知道

华为云开发者联盟

云计算 软件 后端

Rewind the PlanetScale Rewind | 拆解硅谷当红科技公司如何做 Product Marketing

Bytebase

Docker与虚拟化技术浅析第一弹之docker与Kubernetes

京东科技开发者

Docker Kubernetes k8s 虚拟机

教你使用Jupyter可视化查询语句的语法树

华为云开发者联盟

人工智能

KubeEdge边缘计算在顺丰科技工业物联网中的实践

华为云开发者联盟

云计算 云原生 工业物联网 顺丰

QSecurity月度安全评论(2012年5月)_安全_殷钧钧_InfoQ精选文章