| 出版日期:2004-09-27 总期号:1351 本年期号:72 |
|
 |
搜索引擎有隐患
Mark Willoughby 根据安全专家提供的信息显示,恶意黑客在寻找可用信息的时候,使用互联网搜索引擎去发现可以攻击漏洞的案例将会逐渐增加。 一段时间以来,黑客们都使用搜索引擎去对一个网站的源代码进行语法分析,寻找关于站点包含内容的线索及对于发动攻击可能有用的配置信息。 “人们发现,他们只要使用一个与内容关系比较密切的查询,就可以返回显示很多安全漏洞的结果。Matt Fisher是SPI Dynamics的一个应用安全分析师。他说,过去网站的软件开发实践通常会带来关键信息的不安全代码。一个使用Web浏览器和搜索引擎的黑客,通常可以借此对网站进行分析,寻找可以得到可利用信息的突破点。Fisher举出了以明文或者是HTML文件存储的备份文件以及源代码,或者是包含着密码的内嵌注释和数据库框架等作为例子。 他指出,关键的问题是Web应用程序薄弱的安全环节。他还补充道:“并且不能反映到搜索引擎安全实践中。”开发者被训练编写功能性的以及有效率的代码,但是并非安全的代码。Web应用程序漏洞不是统一的,每个网站都有自己的独特性。Fisher认为:“你不能为Web应用程序漏洞打上补丁。你必须自己解决问题,因为80端口必须打开,防火墙不会保护这种类型的漏洞。 |
||||||||||||||||||||||||||||||
