DoSECU 安全分析 3月23日消息:Web 2.0技术的众多诱惑之一是用户可将大量的信息上传到Web网站上。目前,企业也正在越来越多地采用Web 2.0工具,例如博客,Wikis和RSS。
但是企业的安全做法是否也可以跟得上技术的变化?如果没有,Secure Enterprise 2.0 Forum(安全企业2.0论坛)提供了企业面对不断发展的技术需要重视的10个重要安全问题。其中包括Web 2.0技术带来的特有威胁,同时也涉及了利用Web 2.0行为(如内容共享和社区参与)的早期威胁。
Web 2.0技术的特有威胁包括跨站点脚本(XSS),各种新型的注入攻击,以及信息泄露。
"在我们过去的经历中,跨站点脚本是与Web 2.0技术相关威胁中的最为恶劣的,企业应该对这一威胁引起足够的重视。"销售Web 2.0环境安全软件的公司WorkLight市场营销及产品战略部门副总裁David Lavenda说。他在一封电子邮件中写道:"这种类型的攻击很难被检测到。"(该安全公司协助举办了 Secure Enterprise 2.0 Forum,论坛参与者有技术公司,研究机构以及安全专家。)
Lavenda表示,由于内容的共享更自由灵活,Web 2.0技术特别容易受到跨站脚本攻击。
黑客常常利用跨站脚本攻击大型网站,以发挥攻击的最大的影响。例如,在去年10月被发现在雅虎HotJobs网站上的可导致成千上万人身份被盗窃的安全漏洞。
该小组估计,SQL注入攻击一起加上通过JavaScript的跨站点脚本的攻击占所有网站攻击大约60%。
然而,SQL注入攻击不是injection flaws 的唯一形式。Secure Enterprise 2.0 Forum 表示 Web 2.0技术很容易受到新型注入攻击,包括XML 注入和JavaScript注入。论坛得出结论,同样,由于Web 2.0技术应用对客户端代码的高度依赖,他们往往执行客户端输入验证,这将使攻击者可以绕过进行攻击。
用户生成内容带来的隐患
论坛得出结论,Web 2.0技术的关键特征–用户生成内容,同样导致了信息泄露的发生。导致企业不知不觉包含了不适当的网站内容,这将进一步影响企业的品牌形象。
企业可以采取双管齐下的办法来解决这一问题,这就是品牌形象十分依赖Web 2.0技术的服装和鞋帽零售商Karmaloop所采取的方式。
Karmaloop CEO Greg Selkoe表示,首先,将所有上传到网站上的内容在屏幕上进行显示。其次,通过使自己的网站极具吸引力和建立用户间的社区,来利用用户监督网站。"我们网站的浏览用户始终持续不断,如果他们看到什么内容不适当他们就会告诉我们,我们会立刻将其撤下来。"Selkoe说。
