iT邦幫忙

19

Web 2.0網站安全性堪慮?

Web 2.0網站是當今網際網路新興的發展之一,這樣形態的網站到底具備什麼樣的特性?對網頁瀏覽而言,是否會產生危機?許多專家甚至指出,Web 2.0網站雖然便利,但安全性可能有疑慮,真相到底如何?
Web 2.0這個概念始於一個會議中,這個會議由O'Reilly公司和MediaLive國際公司召開。因為一些新興的公司如Google、YouTube這些網站受到高度關注,大眾開始注意到,網路泡沫化並沒有造成整個網際網路的崩潰,對於今日的社會,網路已變得更重要。一些新應用或是新軟體更是廣泛地被人們使用,漸漸地還有不可或缺的趨勢,而這些服務都有一些共通之處,顯示了當初這場泡沫化的風暴並沒有讓網路破滅掉,反而出現了新的轉機,因此,這個會議將這些新形態的應用及服務稱為Web 2.0。

為網路發展開創新時代,威脅也同步逼近
Web 2.0概念網站使用的新式網頁技術,強調和使用者之間的互動。舉個有趣的例子,Web 1.0時代的網站好比一間只有前門的房子,密不透風,一點都不親切,不會隨著住的人喜好而改變外觀,但是安全控管只要注意進出那扇門的人就可以;到了Web 2.0時代,還是只有一扇門,但門的位置可以隨使用者喜好而改變,使用者也可以加一些窗戶讓空氣流通,房子變得更漂亮,更貼近使用者的需求,但進入到房子內的方法因此越來越多,威脅隨之上升。除了正面意義外,更可能創造了一個安全威脅的新天地。

新的Web形態?
Web 2.0並沒有嚴謹的定義,但最大的特色在於更強調使用者參與、開放、互動的網路技術。其中有些甚至還運用新的技術,有別於傳統單向傳播、靜態網頁。以Google Maps為例,即是運用Ajax與Mash-up技術,使網站伺服器可以從其他網站抓取元件,像是租屋、餐廳、或犯罪資訊,以便將此類資訊整合在地圖服務上。

在Web 2.0時代的伺服器,漸漸地開始以服務為導向。一般而言,Web 2.0以Web作為平臺,它將網路看成平臺,在一個更深入的層次上,搭建一個暫存和內容發布網路,降低網路頻寬的壅塞程度。O'Reilly公司和MediaLive國際公司的會議,所畫出來的一張「Web2.0」模擬圖便揭示了許多有關「Web2.0」的核心概念。

利用集體智慧,維基百科全書(Wikipedia),就是一種利用集體智慧最好的呈現,也是最令人熟知的例子。Wiki指的是一種可在網路上開放多人協同創作的超文本系統,它允許任何網站的使用者可以快速地加入、刪除、瀏覽網頁內容,。Wiki的寫作,最後形成一種社群,眾人共享有關於這個領域的知識,使知識的內容更佳豐富。

在Web 2.0的概念下,「資料」(data)將成為重要的資產。在網際網路發達的現代,最重要的一件事,便是解決了「資訊不對稱」。沒有網際網路的時代,很多知識都是封閉的,現在所有的知識在網路上都能查得到,所以誰擁有「資料」成為一件很重要的事情。我們也必須注意到:使用者關心的隱私權和對自身資料的存取權限。以前,關於這方面的限制相當鬆散。但是隨著自我意識的抬頭,相關的保護越形重要。

因為RSS、SOAP(Simple Object Access Protocol,簡單路徑存取協定)等技術,打造一個Web 2.0時代的網站變得越來越容易,節省許多時間以致力於提供更好的服務。軟體不斷發行與升級的循環將會終結,也是特色之一(「永久的Beta 版」)。

軟體的執行開始超越單一設備的範圍。正由於這些軟體以Web為背景,可說是跨平臺的軟體。不只是Windows、Linux、Mac OS等系統,甚至在iPod、手機上也可使用。

豐富的使用者體驗,同樣是這股趨勢的特徵。分享和參與的架構所驅動的網路效應,帶動分散的、獨立的開發者,他們將各個系統和網站組合、彙集,形成改革。

安全性威脅
底下將介紹有關於「Web2.0」可能產生的8種安全性威脅。這些威脅是由Shreeraj Shah在一篇文章內所提出,根據一些Web 2.0時代所用的技術,導致可能或是已經發生的漏洞。

1.Ajax的跨網站攻擊(Cross-site scripting with Ajax)
惡意的JavaScript攻擊存在於現有的網路,在以前會用停止JavaScipt或是提醒使用者網站會使用JavaScript的方式警告使用者。在「Web2.0」的時代,JavaScript形成了一種重要的技術。許多網站都有使用JavaScript來撰寫,威脅就此產生。比方說一隻叫做Yamanner的蠕蟲便是利用這個漏洞來攻擊Yahoo提供的郵件服務。即使有些使用者的瀏覽器可以避免使用JavaScript,不過大部分的瀏覽器為了使用方便,對這方面的控制仍是相當不嚴謹,所以蠕蟲才能這麼快地流傳出去。攻擊者只需要誘使使用者去點含有惡意程式碼的連結,就能繼續攻擊下一個使用者,這種以前就存在的攻擊方式,因為Ajax技術,讓這種攻擊方式找到了新的出路。

2.XML(XML poisoning and injections)
Web 2.0常採用XML在伺服器和瀏覽器端來回溝通的技術,耗去許多來自於Ajax用戶端的XML區段,這有可能會產生阻礙。假設系統出錯,可能會造成阻斷式拒絕服務攻擊。許多攻擊者會產生錯誤的XML文件格式,使伺服器的分析過程產生中斷,如此一來,攻擊便能持續下去。藉由這種方式,攻擊者可以改變執行的程序,這個漏洞會洩漏更多的機密資訊給攻擊者。

3.惡意的Ajax執行碼(Malicious Ajax code execution)
執行Ajax呼叫時,程式在背景執行,而使用者無法是否察覺瀏覽器正在執行XML HTTP Request物件。當瀏覽器產生Ajax呼叫,網站會以cookies來回應每一筆要求,可能會導致洩密的結果。

舉例而言,使用者登入某間銀行的服務網頁,輸入了帳號、密碼,登入後,這個帳號、密碼便存在於網頁的session中,如果此時使用者瀏覽了某個惡意攻擊者撰寫的網頁,由於Ajax呼叫可以在背景執行,不被察覺,因此攻擊者便能輕易取得帳號資料。這個漏洞造成了洩漏資訊的一個機會,如此一來,重要資訊會傳給惡意的攻擊者。雖然這個漏洞本來就存在,但是Web邁入2.0後,發生的機率會大增。

4.RSS的感染危機(RSS injection)
這是一種新形態的「Web2.0」攻擊。RSS能夠產生內容摘要,那麼當網頁內容有更新時,便能通知有訂閱該網頁的使用者,簡單摘要更新的內容,讓有興趣的使用者可以造訪該網站。

由於要讓伺服器與用戶端溝通,可能會藉由感染JavaScript來產生攻擊

的動作。使用者造訪網站,訂閱RSS服務的同時,也下載了含有惡意程式碼的JavaScript,該電腦可能會被安裝一些軟體、竊取使用者的cookies檔,或者執行一些惡意程式。由於RSS服務越來越盛行,身為伺服器的管理者有必要在伺服器端先過濾掉一些關鍵字眼,阻止災害的發生。

5.WSDL的掃瞄和列舉功能(WSDL scanning and enumeration)
WSDL全名為Web Services Definition Language,是一種網頁服務的介面。為一些服務提供了重要資訊,這些資訊是非常敏感而機密的,可以用來幫助定義開發網頁的語法。但某些有心人士會利用此語法觀看是否有潛在的危險,現今社會已發現許多利用WSDL掃瞄產生的漏洞,比方說查詢WSDL對於「debug」、「override」等的定義,再從中探詢是否含有漏洞。所以有關於WSDL檔案的保護及存取控制就顯得相當重要。

6.Ajax路徑查詢上的用戶端驗證(Client side validation in Ajax routines)
使用Ajax路徑查詢(Ajax routines)服務的Web 2.0應用程式,會在使用者端電腦執行相當多的處理程序,例如驗證資料形態、文章內容、時間日期等。正常來說,這些檢查動作也會在伺服器端執行驗證,但是很多開發程式的撰寫人忽略了這一部分的動作,因為他們假設這部分已經驗證過了。因為忽略了這個動作,攻擊者便有可能會繞過關於Ajax的驗證,產生一些POST或是GET的指令,以類似SQL injection或是LDAP injection等方式發動攻擊。攻擊者可藉此插入一些惡意的程式執行攻擊。

7.網頁服務繞路議題(Web services routing issues)
有一種叫做「WS-Routing」的服務,允許SOAP訊息從各種不同的節點,經由特殊的管道進入網路。像SOAP是一種標準化的通訊規範,它的目的是為了簡化網頁伺服器從XML資料庫中存取資料時,無需花時間去格式化頁面,並能讓不同應用程式間透過HTTP通訊協定,以XML的方式交換彼此的資料,獨立於程式語言、平臺、硬體之間的差異,不受影響。當這些訊息通過各個節點,可能會透露出一些重要的信息給攻擊者。隨著網頁應用程式越來越趨向網頁服務架構的今日,利用此漏洞發動攻擊的人日漸增多,這種新協定產生的漏洞越來越值得重視,撰寫網頁程式的人必須注意自己是否洩漏出重要的訊息。

8.SOAP的參數竄改(Parameter manipulation with SOAP)
如前所述,利用SOAP溝通時需要很多參數,這裡面的動作有可能被攻擊者竄改。攻擊者可以利用各式各樣的injection,例如:SQL、LDAP、XPATH、command shell等等想辦法竄改參數、入侵系統。不正確或是不完善的驗證過程,將導致產生這項漏洞,主要是針對運行在網頁服務上的網頁應用程式所產生的新攻擊形態。

Ajax、網頁服務是存在於Web 2.0時代最重要的名詞,因為這些新發明的科技,讓整個網頁應用程式變得更多采多姿,使用者可以自訂屬於個人的網頁服務,也因此產生了更多的漏洞。

也因為這些讓使用者可以更自由地自訂服務的方式,攻擊者利用這些漏洞攻擊的門檻更往下降。享受這些新科技帶來便利的同時,資安人員不該因為這些服務都下放給使用者而掉以輕心,更應該注意這些安全議題,有效地阻止一些Web 2.0時代的的新攻擊方式。


0
john651216
iT邦研究生 1 級 ‧ 2008-04-19 22:35:04

謝謝分享

0
5min
iT邦好手 3 級 ‧ 2008-04-21 00:29:11

謝謝分享

0
tgunlu
iT邦研究生 1 級 ‧ 2008-04-25 06:56:44

謝謝分享

0
fanylu60
iT邦研究生 1 級 ‧ 2008-04-25 10:25:16

感謝提供分享

0
yce701116
iT邦研究生 1 級 ‧ 2008-04-25 17:42:19

感謝分享資訊

0
fishk
iT邦大師 1 級 ‧ 2008-05-11 01:24:45

謝謝分享

0
tyc1220
iT邦研究生 1 級 ‧ 2008-05-18 00:02:05

謝謝分享

0
jamesjan
iT邦高手 1 級 ‧ 2008-08-18 08:26:15

感謝分享

0
alexc
iT邦高手 1 級 ‧ 2009-06-10 09:53:36

感謝分享資訊

我要留言

立即登入留言