程序漏洞成2007黑帽大會關注點

　　【計世網獨家】(記者王昆月)全球廣為關注的黑帽安全大會的一個很大變化是，人們的關注焦點從病毒轉向了程序安全。

　　這種變化反映出安全行業的趨勢：即惡意攻擊正從普通的病毒轉變為更有針對性的攻擊，這些攻擊所針對的目標是存在漏洞的企業IT系統。

　　會上，網絡安全測試公司Cenzic公布了幾種程序漏洞趨勢：在2007年第二季度，在流行軟件中發現了1484個漏洞，其中，有72%的漏洞與軟件程序、網絡程序、網絡服務器或網頁瀏覽程序相關，而2007年第一季度，這一比例只有7%。

　　在瀏覽器漏洞中，有33%的漏洞存在於微軟的IE瀏覽器中，26%存在於Mozilla的Firefox中，21%的存在於Opera瀏覽器中。

　　SPI Dynamics程序安全測試軟件制造商的研究員們演示了常見的AJAX程序設計漏洞，這些設計都來自不合標准的代碼，比如使用客戶端XSL轉換、使用錯誤的服務器端的API以及將數據無意識地存放在很多客戶端的程序中等等。基於AJAX的Web 2.0語言，比如異步JavaScript和XM已經成為一種流行的平臺，但很多程序員在使用這些語言時沒有重視其安全問題。

　　與會專家表示:大部分的開發人員對AJAX缺乏經驗。雅虎、Google都存在AJAX安全問題。如果這些公司都存在問題，那麼小公司的開發問題更多。

　　兩位研究員對一個使用AJAX編程技術開發的虛擬旅游網站發起攻擊，他們使用了從這些程序竊取信息的攻擊手段，對網站實行拒絕服務式攻擊，或者利用漏洞去深入底層的系統，都獲得了成功。

　　2007年4月，Hoffman在ShmooCon年度黑客大會上使用他自己設計的一種系統發現了一個JavaScript漏洞，引起轟動，漏洞叫做Jikto，會後，有人將這個工具泄露到了互聯網上。

　　SPI的對手，Watchfire演示了『空懸指針』攻擊——指針指向了一塊沒有分配給用戶使用的內存，這是一種非常常見的編程漏洞。空懸指針曾被專家懷

　　疑可以造成潛在的安全威脅，但一直沒有得到證實。會上，Watchfire表示，他們找到了第一種可以真正利用這一漏洞的指令。Watchfire的安全研究主管Danny Allan說：『很長一段時間以來，空懸指針理論上被認為是一種安全漏洞，因為如果將指針指向惡意代碼，你就可以乾壞事，但之前，還沒有人能夠找出利用這一漏洞的方法。但目前已經出現了這種漏洞的利用方法。我預計，圍繞這一問題將出現大量的研究。』今年6月，這家公司被IBM收購，IBM計劃將Watchfire的漏洞掃描技術整合到它的Rational開發平臺當中。

　　Core的研究員Saura和Ariel Waissbein表示通過執行記錄插入操作，人們可竊取數據庫中的機密信息，在一個數據庫當中，記錄插入指令是一套非特權指令集，任何用戶都可以使用它們，包括通過網絡程序訪問系統等等。

　　Core公司的首席技術官Ivan Arce說：『這裡面並不存在配置錯誤的問題。這裡所利用的是數據庫允許用戶快速訪問信息的設計特點，很多情況下，黑客只需簡單地在數據庫當中插入幾行指令，就可以找到數據庫當中的內容，並可以推斷出數據庫內容是什麼，比如，信用卡號碼等等。』

　　因為程序漏洞日益增多，黑帽大會首度設立了『Pwnies』獎項，以獎勵最有創新的漏洞以及漏洞利用發現者。『Pwnies』來源於『pwning』這個黑客專業術語(意思是專門威脅特定的網站或程序)，它下設『最佳服務器端臭蟲獎』、『最佳客戶端臭蟲獎』、『最有創新研究獎』、『最佳廠商響應攻擊獎』以及『最轟動臭蟲獎』。Pwnies獎的評委都是知名安全研究員，其中包括Dino Dai Zovi、HD Moore，Dave Aitel和Alexander Sotirov。