WhitehatSecurity公司的CTOJeremiahGrossman在RAS 2009大会上做了名为2008十大WEB攻击技术的主题演讲,在研究了2008年所发布的近70种WEB攻击技术之后,根据攻击技术的新颖性、影响范围选出了其中最具代表性的Top 10。
这里的WEB安全包括了WEB服务端和客户端安全,其中浏览器以及富文本应用的安全问题是其中比较值得关注:的。
1.GIFAR攻击
这个攻击非常有趣。它的思想是将一张GIF图片和一个JAR文件拼在一起,然后命名成aaa.gif,这个新文件的前一部分是GIF,后一部分是JAR文件。很多WEB服务提供商为了安全只允许上传图片,但对文件内容的检查通常只是简单的检查一下文件头部分是否符合,因此我们新生成的文件就可顺利通过检查,从而绕过安全限制。这样一个包含有JAR内容的文件就被传上了网站,而Sun的Java解释器在解析这样的文件时,又十分“智能”的忽略了前面它不认识的GIF文件数据,从而导致JAR文件中的恶意Java脚本可以在客户端浏览器上被执行。如果这种恶意文件可以传到一些大的WEB服务网站上(例如google.com),则可能产生极大的危害。
2.突破Google Gears的跨域通信机制
GoogleGears是Google提供的一个RIA(富客户端)工具。它的跨域安全机制在某些情况下可以被绕过,攻击者可能获取受害用户在另外一个网站上的敏感数据,例如论坛、WEB邮件、社交网站等等的信息。
3.Safari 地毯式轰炸
Safari是苹果公司开发的WEB浏览器。它在处理一个Content-type无法被浏览器渲染的文件时,会自动将其保存在默认下载目录下(Windows下是桌面,OSX下是Downloads目录)。但这动作是自动完成的,并没有提醒用户,也没有要求用户确认。恶意攻击者只要创建一个包含大量引用恶意程序的网页,就可以迅速占满桌面或者Downloads目录,形成地毯式轰炸的效果。
4.点击欺骗
眼见不一定为实,这对于网页浏览也同样适用。利用隐藏iframe的技巧,可以让你以为是在点击一个按钮或者一个链接时,实际上是在允许恶意程序访问你的摄像头或者麦克风,这样恶意网页就可以监视你的一举一动。
5.Opera 跨站脚本漏洞
Opera的opera:historysearch功能存在一个跨站脚本漏洞,通过注入一个IFRAME页面,利用opera:config功能设置email客户端改成执行任意命令,再打开一个包含mailto:的窗口,就可以执行任意命令。
6.HTML 5 结构化客户端存储滥用问题
HTML5版本引入了几种方式可以允许浏览器在客户端主机上存储大量数据,攻击者可以修改或者读取这些数据。如果一个使用这些数据的web应用程序存在跨站脚本漏洞,攻击者就可以插入恶意代码并让其执行。
7.通过认证后的CSS获取站点登录信息
利用标准的javascriptAPI就可以跨域载入一个stylesheet,然后读取其中的property值。通常用户在登录一个网站前后,property值的内容会有所区别,利用这种技术可以准确的判断用户是否登录某一网站。
8.通过SQL注入实现TCP隧道
结合Squeeza和reDuh工具,可以利用一个存在SQL注入的WEB应用来实现TCP隧道,从而绕过防火墙的的限制。
9. 改变ActiveX 控件的意图
ActiveX控件往往会提供很多强大的功能,如果一旦设计上不够小心,就会带来致命的威胁。演讲者介绍了一个实例,首先诱骗攻击者去访问一个恶意页面,诱使用户进行控件安装和升级,将一个恶意的配置文件下载到本地,配置文件已将卸载程序改成了一个任意命令,恶意页面则再度调用卸载功能,就会导致任意本地命令的执行。ActiveX控件的开发者除了要考虑不要出现缓冲区溢出等常见问题之外,也要特别小心不要被攻击者利用其提供的功能进行攻击。
10.Flash参数注入
Flash参数注入是一种新的攻击方式,可以将数据注入到一个HTML页面内嵌的flash电影的全局参数中。这些注入的数据可以让攻击者完全控制该HTML页面的DOM元素,利用flash与HTML页面之间的交互,攻击者可能造成更大的威胁。
