2007-03-29

互联网安全攻击目标之Web应用程序[nEo原创]

1、概述
现在各种类型的组织机构中使用了很多应用程序,例如:内容管理系统(CMS)、WikisPortals、公告牌和论坛。每周报告的应用程序漏洞就达到了成百上千次,同时,这些漏洞正在被不断的利用。每天试图对大型Web托管业务的攻击数量从几百几千甚至到数百万。

所有的Web框架(如PHP.NETJ2EERuby on RailsColdFusionPerl等等)以及所有类型的Web应用程序都处于其安全缺陷的风险当中,这包括从缺乏有效性验证到应用程序逻辑错误。被利用最多的漏洞包括:

PHP远程文件包含(PHP Remote File Include):PHP是当今使用最普遍的WEB应用程序开发语言和框架。默认情况下,PHP允许文件操作功能使用 allow_url_fopen”来访问Internet上的资源。当PHP脚本允许用户输入来影响文件名时,就会导致远程文件包含的攻击。这类攻击允许(但不限于):

远程代码执行

远程rootkit安装

Windows中,系统内部可能受到PHPSMB文件包装器的威胁

SQL注入(SQL Injection):注入攻击在Web应用程序中是最常见的,特别是SQL注入。在动态查询中混合了用户提交的数据,或者是构造了不合理存储过程,这都可能存在SQL注入攻击。SQL注入可以让攻击者:

创建、读取、更新或者删除任何对应用程序有用的数据

在最坏的情况下,可能威胁到整个数据库系统和周边系统

跨站点脚本(Cross-Site Scripting):跨站点脚本(俗称XSS)是危害最大也是最容易创建的Web应用程序安全问题。XSS允许攻击者修改WEB站点的界面,插入有害内容,进行钓鱼攻击,使用JavaScript恶意代码劫持浏览器,以及强制用户执行未经许可的命令——伪造跨站点请求就是已知的这类攻击,详见CSRF

伪造跨站点请求(Cross-site request forgeries):CSRF强制合法用户执行未经许可的命令。这类攻击极其难以预防,除非应用程序不采用跨站点脚本向量,包括DOM注入。随着Ajax技术的出现,以及有效发现XSS攻击所需知识的增加,导致了CSRF攻击正变的越来越复杂,不管是作为主动个人攻击还是自动蠕虫攻击,例如Samy MySpace蠕虫。

目录往返移动(Directory Traversal):目录往返移动(通过“..”或者编码变量来访问文件)允许攻击者通过访问操作来控制资源,例如密码文件、配置文件、数据库凭证或者攻击者选择的其他文件。

2、如何确定你是否处于风险之中?
3、如何防止Web应用程序漏洞?
4、参考资料

阅读全文(IT168)


阅读全文...

2007-03-20

《细节决定成败》


“泰山不拒细壤,故能成其高;江海不择细流,故能就其深。”所以,大礼不辞小让,细节决定成败。在中国,想做大事的人很多,但愿意把小事做细的人很少;我们不缺少雄韬伟略的战略家,缺少的是精益求精的执行者;决不缺少各类管理规章制度,缺少的是规章条款不折不扣的执行。我们必须改变心浮气躁、浅尝辄止的毛病,提倡注重细节、把小事做细……

一本很不错的书,一直知道有这么本书,但没花时间好好读读。
这本书给我影响最深刻的一个观点是:艺术品为什么能成艺术品,在于其注重细节。很精典的一句话,可能一直都有这句话只是我不知道而已:)。如果我们对待我们的事业,我们的工作能拿出像雕铸一件艺术品的态度,那我们必能在激烈的竞争中占有一席之地。

我们常常会听到一句话是“做大事的人,一定要不拘小节”,这似乎跟本书的观点有些冲突。我认为这是看问题的两个不同方面,古语有“横看成林侧成峰”,那么如何把这两者融合起来呢,套用中国的俗语“两手抓两手都要硬”,一手抓战略战术(大事,大方向,目标),一手抓实现这些目标的具体工作(落实工作,做好监督和检查工作)。
阅读全文...

2007-03-08

十大管理工具[转帖]

大师级的管理专家绝非徒有其名,他们总会开启一个新的管理视角,让你发现你的盲点和误区,提供给你一种崭新的思维工具,掌握了这些工具,你会感到自己进入了一个新的境界。
这里,我们选出了10位管理大师,选择的标准是他们所取得的国际公认的成就。思想工具是更高层次和意义上的工具,或者说它是为了制造一般工具的“工具”。这使它很难被掌握,但一旦掌握,你就会感到心手相应,游刃有余。
1、德鲁克的思想
2、
波特的思想
3、
哈默尔的思想
4、
克里斯坦森的思想
5、
彼得斯的思想
6、
明茨伯格的思想
7、
柯林斯的思想
8、
汉默的思想
9、
科特勒的思想
10、
科特的思想

原文

阅读全文...

2007-03-07

《一分钟经理》


一分钟经理=一分钟目标+一分钟表扬+一分钟批评

一分钟目标:共同的目标、一分钟可以阅读完的目标(字数不超过250个字)、执行任务时理解一遍、时常看看我们离目标还有多远

一分钟表扬:是我们对工作的及时反馈、表扬要具体、我们的感受、再鼓励

一分钟批评:是我们对工作的及时反馈、批评要具体、我们感受、就事论事(非事论人)、前半部分批评,后半部分表扬(先兵后礼)

总体来看:为任务设定一个目标(如同打保龄球,知道我们打了多少个球),有目标才能感受到完成目标的喜悦,没有目标就好像无头苍蝇,我们就有可能会失去工作带给我们的乐趣;对于新员工或接受新任务的人员我们要及时的表扬,让我们的成果不断接近我们设定的目标,这是一种积极的正面的影响,在这种情况下的批评有可能导致
接受任务的人产生反感,最终影响到目标的实现和人际关系的紧张;对于轻车熟路的人员出现错误时,要及时的批评,批评要具体,一针见血(避免当时不管,秋后算帐),谈我们对此的感受(注意停顿),核心是前半部分要批评后半部分要表扬。

这是一本很不错的书,通过故事的形式为我们讲述了经理人的管理理念。在讲述为什么一分钟目标、一分钟表扬和一分钟批语如此有效时,文章引用了很多生活实例,通俗易懂,给人以启发。
阅读全文...

2007-03-01

安全设计原则

微软提出的安全设计原则
原则 解释
开放设计 假设攻击者具有源代码和规格。
故障安全预设值 出故障时自动关闭;无单点故障。
最低权限 只分配所需的权限。
机制经济性 保持简单、易懂的特性。
分离权限 不允许根据单一条件执行操作。
总体调节 每次检查所有内容。
最低公用机制 注意保护共享资源。
心理可接受性 他们将使用它吗?

另一个比较典型的

原则

解释

整体均衡原则 要对信息系统进行全面均衡的保护,要提高整个信息系统的"安全最低点"的安全性能,保证各个层面防护的均衡。
产出/投入平衡原则 要综合考虑安全目标与效率、投入之间的均衡关系,确定合适的平衡点,不能为了追求安全而牺牲效率,或投入过大。
标准化与一致性原则 在技术、设备选型方面必须遵循一系列的业界标准,充分考虑不同设备技术之间的兼容一致性。
产品异构性原则 在安全产品选型时,考虑不同厂商安全产品功能互补的特点,在进行多层防护时,将选用不同厂商的安全产品。
区域等级原则 要将信息系统按照合理的原则划分为不同安全等级,分区域分等级进行安全防护。
动态发展原则 安全防范体系的建设不是一个一劳永逸的工作,而是一个长期不断完善的过程,所以技术方案要能够随着安全技术的发展、外部环境的变化、安全目标的调整而不断升级发展。
统筹规划分步实施原则 技术方案的部署不可能一步到位,所以要在一个全面规划的基础上,根据实际情况,在不影响正常生产的前提下,分步实施。
保护原有投资原则 设计技术方案时,要尽量利用我行现有的设备与软件,避免投资浪费,这些设备包括安全设备、网络设备等。

阅读全文...