Jeremiah Grossman表示����,自動化掃描工具將有助于企業(yè)檢視商業(yè)邏輯漏洞的資安要挾�。而此次同樣來臺灣加入OWASP亞洲年會的Qualys首席資安研討員Mike Shema則指出���,SaaS已經(jīng)是目前自動化掃描工具的基礎(chǔ)型態(tài),企業(yè)可以透過SaaS部署企業(yè)資安軟件��。
除了在線拍賣可能面臨這種商業(yè)邏輯漏洞外�,成都網(wǎng)站制作同樣的方式也發(fā)生在交互式網(wǎng)絡(luò)電視臺��、蘋果MacWorld與Steve Jobs有約�����、在線游戲�����、在線賭博等商業(yè)流程中�。
商業(yè)邏輯漏洞發(fā)生可能性普遍
白帽(WhiteHat Security)安全資安顧問公司則在多年前便提供網(wǎng)絡(luò)掃描的服務(wù),成都網(wǎng)站設(shè)計也是以SaaS方式提供應(yīng)企業(yè)�����。Jeremiah Grossman則是從這樣的掃描成果��,察看出商業(yè)邏輯漏洞的資安威逼�。
Jeremiah Grossman是白帽(WhiteHat Security)安全資安顧問公司開辦人兼技術(shù)長�,也是美國黑帽(Black Hat)跟DefCon黑客年會講師�����。他從許多的資安事件發(fā)生的起因����,演繹出一個對企業(yè)資安的威脅型態(tài):商業(yè)邏輯漏洞。
商業(yè)邏輯漏洞其實就是��,普通商業(yè)邏輯流程進程中��,所涌現(xiàn)的技術(shù)漏洞�。曾經(jīng)當過雅虎資安長的Jeremiah Grossman說:「在線拍賣就是一個常見的商業(yè)邏輯漏洞的案例?��!?
這樣的貿(mào)易邏輯破綻也發(fā)生在常見的密碼恢復(fù)認證機制上�����。Jeremiah Grossman指出��,成都網(wǎng)絡(luò)公司有很多Web服務(wù)機制為了降低解決用戶忘卻密碼的困擾��,并下降解決這類問題的本錢����,會設(shè)破所謂的平安問題,藉由答復(fù)安全性問題獲得用戶密碼�����。不外�����,便曾經(jīng)產(chǎn)生設(shè)定保險性問題時���,其謎底選項固定,嘗試多少次就會猜到����。例如,安全性問題是最愛好的色彩為何�?但選項若指有紅、黑�����、白等3個答案時���,嘗試幾回過錯之后�,就能夠破解了。
因為這種商業(yè)邏輯漏洞問題的呈現(xiàn)����,往往不是程序自身有大的疏漏,Jeremiah Grossman表示����,通常是在配合企業(yè)營運流程上的某一個要害點上的疏漏。所以�,這樣的缺點、漏洞����,也無奈透過常見的IDS(入侵檢測防備體系)等工具檢討出來。
縱深防御是商業(yè)邏輯漏洞最好的防備之道
企業(yè)應(yīng)用Web運用程序的比例越來越高�,Jeremiah Grossman表示,不論這些Web應(yīng)用程序是客制化或者是由第三方廠商供給��,大多經(jīng)由良好的品質(zhì)控管檢測����,加上這些可能的商業(yè)邏輯漏洞,也很難透過IDS(入侵檢測系統(tǒng))定義有缺陷、漏洞在哪�,網(wǎng)絡(luò)應(yīng)用程序防火墻也很難抵御這樣缺陷、漏洞的發(fā)生�。簡而言之,就目前所有的防御工具而言�,對這種商業(yè)邏輯流程中所造成的技術(shù)漏洞,尚不能透過工具進行有效防備辦法���。
在線拍賣造成可能的商業(yè)邏輯漏洞
OWASP(開放網(wǎng)絡(luò)軟件安全組織)日前在臺灣舉行第一屆官方亞洲年會��,針對許多Web以及Web利用程序安全發(fā)表相干演說���。其中���,前Yahoo資安長Jeremiah Grossman首度發(fā)表商業(yè)邏輯漏洞(Business Logic Flaws)演說�����,直指這種商業(yè)邏輯漏洞將使得企業(yè)網(wǎng)站陷入危機���,一個不留神可能導(dǎo)致企業(yè)營收喪失。
9成網(wǎng)站擁有商業(yè)邏輯漏洞
Jeremiah Grossman表現(xiàn)���,不管是信譽卡事務(wù)數(shù)據(jù)傳輸���,或者是密碼還原����,就是個別常見以Web為主的商業(yè)邏輯流程����,這其中所有的技術(shù)弱點,都會是黑客專一攻打的目的��。依據(jù)白帽安全資安參謀公司的統(tǒng)計��,在掃描將近1,000個網(wǎng)站中��,將近9成網(wǎng)站���,具備商業(yè)邏輯流程的技巧弱點���。
Mike Shema說,對于提供主動化掃描服務(wù)����,企業(yè)對于SaaS接收度很高,加上目前許多資安服務(wù)不波及企業(yè)內(nèi)數(shù)據(jù)寄存,跟著企業(yè)Web應(yīng)用程序應(yīng)用越來越遍及�,企業(yè)對于SaaS的資安服務(wù)需要將越高。
SaaS將是將來資安安排的最佳抉擇
他進一步說明�����,在線購物網(wǎng)站為了防止黑客以暴力伎倆找出用戶的密碼���,通常會在密碼輸入錯誤數(shù)次之后即鎖定該賬戶�����。有心的黑客若要搶標��,就可以應(yīng)用這個邏輯上的漏洞來死鎖其余競標者���,黑客只有以其他競標者的賬號�,持續(xù)輸入毛病的密碼來造成該帳戶被系統(tǒng)逝世鎖,再趁機搶標���。
另外���,美國也有一些專業(yè)的工業(yè)媒體報導(dǎo),為了怕影響股價,會在必定日期過后才干公然給特定的受權(quán)對象����。Jeremiah Grossman說,這些文章實在老早就被上傳到網(wǎng)絡(luò)服務(wù)器上��,等時光到才開放���。但就有人發(fā)明每一篇文章的網(wǎng)址包括日期數(shù)字����,存在規(guī)矩性����,透過猜出刊日期與文章數(shù)字的方法,容易拆解出未公開文章的網(wǎng)址���,并趁機獲利上百萬美元�。
但Jeremiah Grossman說��,仍是有一些根本的預(yù)防之道��。這種商業(yè)邏輯漏洞流量并未異樣��,因而很難藉由基本的網(wǎng)絡(luò)應(yīng)用程序防火墻、弱點掃描���、安全的設(shè)定等方式����,做到防護���。但從最佳實務(wù)的角度來看���,至少兩名資安專家,佐以自動化的掃描工具��,程序開發(fā)契合SDLC(軟件開發(fā)性命周期)�,做到縱深防御,有助于發(fā)現(xiàn)商業(yè)邏輯漏洞���。
另外�����,Jeremiah Grossman也倡議,企業(yè)可做到資產(chǎn)追蹤���、安全度量以及合乎開發(fā)框架等��,也都是有效解決商業(yè)邏輯漏洞的方式
Mike Shema表示����,幾年前美國企業(yè)對于SaaS(軟件即服務(wù))的作法還不信任,對于數(shù)據(jù)不存放在自家公司覺得疑慮����,但當初,美國企業(yè)已經(jīng)懂得到:問題不在數(shù)據(jù)放哪里�����,而是數(shù)據(jù)本身是否夠安全�。他說,也由于美國企業(yè)開端有足夠的信賴��,許多提供自動掃描服務(wù)功效的資安公司�,例如提供Port Scan的Qualys,都以SaaS方式提供企業(yè)客戶相關(guān)的服務(wù)���。
面對這種商業(yè)邏輯漏洞該怎么解決�?Jeremiah Grossman表示�,除了避免將用戶賬號��、密碼留存在網(wǎng)絡(luò)上���,輕易被有心人追究相關(guān)隱衷外,也提議在密碼錯誤次數(shù)太多被封閉時�,可以加上輸入圖片上數(shù)字的CAPTCHA 系統(tǒng),以避免機器人暴力拆解密碼的可能性�����。