写点什么

QSecurity 月度安全评论(2012 年 5 月)

  • 2012-06-07
  • 本文字数:1220 字

    阅读完需:约 4 分钟

本月的开始,先用几个最新在乌云上公开的安全漏洞作为开胃小菜吧。

http://www.wooyun.org/bugs/wooyun-2010-07738

新蛋中国支付漏洞

通过简单的页面 DOM 操作,即可绕过订单提交验证。将商品数量改为负数,从而使得订单总金额发生“变化”。新蛋算是老牌的电商企业了,还在犯这种错误,确实有点说不过去。看来让每个 web 开发者能清醒认识到服务端验证和客户端验证的区别,以及“所有的用户输入都是邪恶的”这个基本安全概念,还有一段路要走。

http://www.wooyun.org/bugs/wooyun-2010-07634

万网某处用户身份证信息企业信息泄露

我们在上期的 QSecurity 专题中刚刚介绍了数据越权访问漏洞(BAC),这里就有一个现成的案例:

http://www.wooyun.org/bugs/wooyun-2010-06184

某政府网站上传身份证泄漏导致批 84

湖南省某政府网站,可以公开下载到所有登记企业法人的身份证信息。该漏洞已有 CNCERT 国家互联网应急中心转交湖南分中心“协调处理”。可是截止到目前为止,该漏洞依然存在。

以上 3 个漏洞肯定不是上个月发生的最严重的安全事件,可是它们的共同点是:漏洞被白帽子主动上报之后很长一段时间都没有得到修复。前两者厂商选择了忽略该漏洞,后者虽然有 CNCERT 跟进,可是处理速度非常不尽如人意。在笔者写这篇文章时,微博上又出现了大面积的某知名电商余额被盗案件。这就是我们的网民目前所处的网络环境,如果厂商、政府和信息服务提供商都不重视用户乃至自身的信息安全,那么我们也只能靠脚(鼠标)投票了。

回到面向开发者的安全内容。首先带来一个好消息,OWASP 用于作为 Web 安全培训的教程项目 WebGoat 在本月发布了它的一个新版本:

http://owasp.blogspot.com/2012/04/webgoat-54-released.html

强烈推荐每一个有 Web 安全培训需求的企业和团队试一试这个目前最好的面向程序员的 Web 安全培训系统。

http://www.clerkendweller.com/2012/5/18/ClientSide-Storage-in-HTML5

接下来是一篇关于 HTML5 客户端存储的文章。客户端存储由于不可避免地涉及到用户隐私和安全性,因此在为 HTML5 提供了更多可用的功能扩展之外,也不可避免受到安全性方面的质疑。

http://www.jtmelton.com/

最后还是忍不住继续推荐 John Melton 老先生的” YEAR OF SECURITY FOR JAVA”系列。最近的几篇文章开始涉及到 Web 安全的一些普适性问题和原则,值得认真拜读。

http://open.bekk.no/owasp-top-10-for-javascript-a2-cross-site-scripting-xss/

这是博客作者 Erlend Oftedal 为了介绍 OWASP Top10 开始写作的系列文章。本月介绍 Top10 的第 2 个重头戏:跨站脚本漏洞(XSS)。

在物理世界中,我们喝的是蒙牛,吃的是皮鞋和地沟油,病了服用的是毒胶囊……本已极度缺乏安全感了。而在网络世界中,为用户建立起最基本的安全感,则需要我们每个 IT 人的共同努力。


给 InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ )或者腾讯微博( @InfoQ )关注我们,并与我们的编辑和其他读者朋友交流。

2012-06-07 02:413011

评论

发布
暂无评论
发现更多内容

第四周

Jam

第六周作业

Jam

第十三周作业

Jam

oeasy 教您玩转 linux 之 010302 火狐浏览器 firefox

o

UML 练习

黄立

作业

架构师训练营:第一周学习总结

xs-geek

架构师训练营第1期 第1周 作业1

KK_TTN

极客大学架构师训练营

网络安全中的机器学习-恶意软件安装

计算机与AI

学习 网络安全

Architecture Phase I-Week1 Homework UML Diagram

phylony-lu

极客大学架构师训练营

架构师训练营第 1 期 第一周 学习总结

KK_TTN

极客大学架构师训练营

第五周作业

Jam

采用docker相关测试

菜鸟小sailor 🐕

只要我跑的够快,内卷它就卷不到我,一名高中生是如何做到在疫情下涨薪70%的?

程序员DMZ

面试 程序人生

架构师训练营大作业一同城快递

Hanson

Nacos如何实现服务自动注册

编号94530

spring nacos 源码阅读 spring cloud alibaba

架构师训练营第 1 期 - 第一周学习总结

Anyou Liu

架构师训练营第一周学习感悟

吴传禹

极客大学架构师训练营

Spring事件执行流程源码分析

编号94530

spring Spring Cloud 源码阅读 事件监听

第一周学习总结

Geek_ac4080

架构师训练营大作业

吴吴

第一周学习总结

第三周作业

Jam

第十二周作业

Jam

食堂就餐卡系统设计

应鹏

极客大学架构师训练营

第一周作业

架构师训练营学习总结——第一周

文智

极客大学架构师训练营

重新理解“软件工程”

Bruce Talk

软件工程

架构师训练营第一周作业

吴传禹

极客大学架构师训练营

week01系统设计

xxx

第三周总结

Jam

UML练习1

文智

极客大学架构师训练营

QSecurity月度安全评论(2012年5月)_安全_殷钧钧_InfoQ精选文章