亚洲免费精品一区二区三区|亚洲国产成人AⅤ片在线观看|国产精品亚洲二区在线看|日韩人妻无码精品

<source id="x8p8d"></source>
<tr id="x8p8d"><em id="x8p8d"></em></tr>

<label id="x8p8d"></label><pre id="x8p8d"></pre>
<source id="x8p8d"><del id="x8p8d"></del></source>
    1. 

      <noscript id="x8p8d"><delect id="x8p8d"></delect></noscript>
        • <rt id="x8p8d"><del id="x8p8d"><bdo id="x8p8d"></bdo></del></rt>
      • <li id="x8p8d"><th id="x8p8d"></th></li>

        1. 



          
	
	

          

          
	
          
		
		
			濟(jì)寧天氣預(yù)報
          
			濟(jì)寧市人力資源和社會保障局 
              
                        濟(jì)寧人事考試單位代碼
          
			
                        濟(jì)寧市安全教育平臺
          
			            濟(jì)寧違章查詢
          
                        濟(jì)寧住房公積金查詢
          
		          
	
          
	
          
		
			
	        濟(jì)寧科技網(wǎng)
			濟(jì)寧培訓(xùn)班
            濟(jì)寧銀行網(wǎng)上銀行
			濟(jì)寧教育網(wǎng)
		
		
			
		
		
			
			
			
		
		
			歷史故事
			家庭教育
			濟(jì)寧市地圖
			濟(jì)寧房產(chǎn)
                        濟(jì)寧教育網(wǎng)
                        濟(jì)寧人事考試信息網(wǎng)
濟(jì)寧新聞網(wǎng)
		
	
          
	
          
		
					幣圈最新消息 濟(jì)寧信息港
          
            瀏覽器之家  濟(jì)寧汽車 睡前小故事
          
            下載吧  股票書籍   花花草草
          
            百應(yīng)百科   照片恢復(fù) 學(xué)習(xí)通
            
            紅警之家   睡前小故事 馬伊琍 
          
 手機(jī)照片恢復(fù) 手機(jī)數(shù)據(jù)恢復(fù)
          
		          
		
	
          

          


          
	
          
		
		
          
			
          
				
          安全人員需注意第三方應(yīng)用程序威脅
          
				
          時間:2010-08-22 15:18來源:未知 www.habestpay.com.cn
          
			
          
			
          

				
          第三方內(nèi)容造成的安全問題對于網(wǎng)站站長而言并不陌生。從第三方工具、應(yīng)用程序廣告在網(wǎng)絡(luò)上的普及程度以及對網(wǎng)絡(luò)安全的影響來看,這無疑給web 2.0企業(yè)帶來很大的挑戰(zhàn)。
          根據(jù)安全公司Dasient表示,新網(wǎng)站被感染的時間為平均每1.3秒。而在2009年,每個月受惡意軟件感染的網(wǎng)頁大約有2百萬。對于網(wǎng)站所有者而言,這些感染都是源自Dasient公司首席技術(shù)官Neil Daswani在7月26日發(fā)表的報告中所提及的“結(jié)構(gòu)性漏洞”,而這就是因為第三方應(yīng)用程序、工具和惡意廣告引起的安全問題,這種漏洞一旦被利用將能夠威脅整個網(wǎng)站。
          “傳統(tǒng)的部署漏洞(如SQL注入或者跨站腳本)都能夠通過修復(fù)軟件來‘予以修復(fù)’,”Daswani表示,“對于結(jié)構(gòu)性漏洞而言,唯一與眾不同的特點就是,沒有任何問題是可以真正被修復(fù)的,網(wǎng)站依賴于第三方的內(nèi)容,如果決定不使用廣告通常不是好辦法!
          從很多方面來說,這是一個老問題的新轉(zhuǎn)折,Gartner研究所分析師John Pescatore指出。
          “這與早期web 1.0的CGI(共同網(wǎng)關(guān)界面)的問題非常類似,很多小工具如留言板、計數(shù)器等中的小問題都會被利用,”Pescatore表示,“首先,很多小工具中存在漏洞以致讓黑客利用,而后來則是,更聰明的攻擊者使用木馬版本,然后只需要利用他們自己的后門代碼!
          而現(xiàn)在,同樣的問題也發(fā)生在第三方工具中。
          “利用第三方提供的任意JavaScript式網(wǎng)絡(luò)工具的網(wǎng)站其實都授予了第三方完整的DOM訪問權(quán)限,與他們本地代碼一樣的訪問權(quán)限,”白帽子安全首席技術(shù)官Jeremiah Grossman表示,“因此,網(wǎng)絡(luò)工具的整個基本硬件/軟件基礎(chǔ)結(jié)構(gòu)也就成為了網(wǎng)站所有者隱式或者顯式信任模式的一部分!
          “企業(yè)在部署第三方網(wǎng)絡(luò)工具前,必須對第三方攻擊的安全性和可靠性進(jìn)行嚴(yán)格的審查,”Grossman表示。
          “這將要求第三方網(wǎng)絡(luò)工具供應(yīng)商在法律上同意進(jìn)行安全評估,”他指出,“其次,雖然并不總是出于業(yè)務(wù)原因,網(wǎng)絡(luò)工具不應(yīng)該用在要求高級別安全保障的網(wǎng)站中!
          此外,“對于IE6用戶及以上版本用戶,iframes支持security=restricted屬性,能夠指定網(wǎng)絡(luò)工具必須在瀏覽器的限制網(wǎng)站安全區(qū)域運行,”Grossman補充說,“限制網(wǎng)站安全區(qū)域能夠防止運行JavaScript或者VBScript以重定向到其他網(wǎng)站以及其他惡意行為,如果網(wǎng)絡(luò)工具供應(yīng)商是不可信任的或者不需要這種功能,那么強烈建議大家,只有在需要的時候才使用這個功能。”
          在Dasient發(fā)表的報告中,該公司對大約5000個網(wǎng)站進(jìn)行了分析,并發(fā)現(xiàn)四分之三的網(wǎng)站使用了第三方JavaScript工具,主要包括旅游、娛樂和休閑網(wǎng)站,這些類型的網(wǎng)站中有99%被發(fā)現(xiàn)在使用第三方JavaScript工具。
          “攻擊者能夠輕松破壞一個工具,然后就能夠有效攻擊每個網(wǎng)站,那些已經(jīng)在使用此工具的網(wǎng)站,以致所有這些網(wǎng)站成為惡意軟件傳播的平臺,”Daswani表示。
          此外,該公司還發(fā)現(xiàn)出版網(wǎng)站中有三分之一在使用第三方的廣告,91%的企業(yè)使用過時的軟件來維護(hù)網(wǎng)站。
          “雖然企業(yè)通常能夠很好的控制他們直接運行網(wǎng)站部分,但他們通常對于軟件開發(fā)生命周期過程或者他們所使用的第三方應(yīng)用程序安全問題沒有直接的控制,”Daswani表示。
          因第三方應(yīng)用程序而造成安全問題的網(wǎng)站中就包括Facebook,該網(wǎng)站有一個大型第三方開發(fā)人員社區(qū),并采取了很多措施來確保應(yīng)用程序的安全。最后,Daswani表示,解決第三方應(yīng)用程序帶來的安全問題的方法歸結(jié)來說,就是監(jiān)測這些問題以及對第三方內(nèi)容供應(yīng)商進(jìn)行審核。
          “這是一個很大的挑戰(zhàn),但并不是什么新挑戰(zhàn),真正需要注意的是AJAX代碼、JavaScript、小工具和過時的CGI腳本,這些都意味著將給網(wǎng)站帶來更多漏洞和更多能夠插入惡意軟件的空間,最好的方法就是更多的使用白名單方式,”該安全分析人員表示。
          
				
          
				相關(guān)閱讀

        2. Windows7企業(yè)應(yīng)用程序兼容性功能解析
          3. 

        3. 英特爾CISO:安全最大的威脅是對風(fēng)險的誤解
          4. 

        4. “360U盤保護(hù)”木馬泛濫  以安全名義威脅用戶隱私數(shù)據(jù)
          5. 

        5. 淺析IPv6的寧靜威脅
          6. 

        6. 企業(yè)如何最小化云計算威脅?
          7. 

        7. 網(wǎng)絡(luò)釣魚的潛在威脅
          8. 

        8. 主動式網(wǎng)絡(luò)安全策略抵御網(wǎng)絡(luò)威脅
          9. 

        9. Windows應(yīng)用程序被爆含有高危漏洞
          10. 

			
          		
                                
             

			
            上一篇:內(nèi)網(wǎng)安全界的至理名言 
            
			下一篇:芯片巨擘Intel華麗收購McAfee 業(yè)內(nèi)褒貶不一 

            
			
            
				
            濟(jì)寧運河畔網(wǎng)版權(quán)與免責(zé)聲明:
            
				
            ①凡本網(wǎng)來源于注明來“源于:運河畔或www.habestpay.com.cn”版權(quán)均屬運河畔網(wǎng)所有,其他媒體可以轉(zhuǎn)載,且需注明“來源運河畔網(wǎng)”
            
				② 凡本網(wǎng)注明“來源:XXX(非濟(jì)寧運河畔,濟(jì)寧信息港)”的作品,均轉(zhuǎn)載自其它媒體,轉(zhuǎn)載目的在于傳遞更多信息,并不代表本網(wǎng)贊同其觀點和對其真實性負(fù)責(zé)。
            
				③ 如因作品內(nèi)容、版權(quán)和其它問題需要同本網(wǎng)聯(lián)系的,請在30日內(nèi)進(jìn)行。
            
				
            			
            
		
            

				

	
	
            

	
            
		
		
		
		
		
            
			
            
				
              
				
            • 全網(wǎng)熱點
              • 
				
            • 健康
              • 
				
            • 教育
              • 
				
            • 新聞
              • 
				
            • 美食
              •