最和谐的社区、最好用的博客 - Nash

从产品经济到服务经济，从服务经济到体验经济，客户需要的东西似乎越来越升级了，乍一看似乎是客户变聪明了，其实只不过是卖东西的人愿意更进一步去研究客 户了，都是竞争惹的“祸”啊，客户的需求是不断变化的，卖家需要不断地学习以应付客户的需求，这些工作不仅仅是专业领域的技术尖子能干的，还需要与具有社 会学、心理学和统计学知识的专家一起来相互配合协作。

B.约瑟夫.派恩和詹姆士.H.吉尔摩在《体验经济》一书中提出所谓“体验”就是企业以商品为道具，以服务为舞台，以顾客为中心，创造出能使消费者 全面参与、值得消费者回忆的活动。体验是使每个人以个性化的方式参与消费，在消费过程中产生情绪、体力、心理、智力、精神等方面的满足，并产生预期或更为 美好的感觉。

从经济学的角度来看，体验经济指出了经济学的回归之路，杰尼米.边沁（Jeremy Bentham） 在《道德与立法原理导论》中，把快乐和痛苦作为终极价值，亚当.斯密（Adam Smith）也提到了这个问题，然而在阿尔弗雷德.马歇尔（Alfred Marshall）以后的西方经济学里，快乐不见了，取而代之的是效用的概念，在科学大行其道的今天，理性已经战胜了感性，2002年诺贝尔经济学奖获得 者之一丹尼尔.卡尼曼（Daniel Kahneman）写了一篇《回到边沁》的文章，试图将两者进行融合，他能获得诺贝尔经济学奖从一个角度也说明了感性的价值观不敢说如火如荼，至少也是暗 流涌动了吧。

回到现实生活中来，国外的公司不用说，XP的意思不就是体验么？就连国内的企业也对体验趋之若骛，联想大张旗鼓地亮出了体验的旗帜（联想不仅向客户 提供质量上乘的产品，而且为客户创造充满喜悦和惊奇的体验），百度也不停地利用各种资源确定客户的需求，并且在北大建立了体验中心……

Cert有一篇文章对Mobile Code举了一些例子 http://www.cert.org/tech_tips/home_networks.html
“mobile code” (e.g. Java, JavaScript, and ActiveX)：These are programming languages that let web developers write code that is executed by your web browser. Although the code is generally useful, it can be used by intruders to gather information (such as which web sites you visit) or to run malicious code on your computer.

通过IT行业的资源整合以及系统的互连互通，以期使信息化建设发挥最大的综合效益和使用价值，已成了业内IT技术发展的共识（参考Gartner 2009年IT行业10大战略性技术）。做为信息产业的重要分支的信息安全产业，近年来也在关注信息安全的综合治理并积极开展信息安全体系架构的研究。这些工作也都是期望能够通过各种安全机制、人员以及管理制度的协同与整合，通过体系化的安全解决方案以及合规性约束来提升用户的信息安全保障能力以及产业的综合服务能力。本站的可信网络主题中的可信网络体系架构（TCAF）的安全管理平台就是基于安全资源整合思想设计的，此外已被业内普遍接受的SOC的概念也可认为是安全资源整合的一个成功案例。

本文归纳了OWASP组织提出的前十大网络漏洞，包括对每个问题的描述、真实案例以及如何修复它们。

1、跨站脚本（XSS）

■ 问题：XSS漏洞是最普遍和最致命的网络应用软件安全漏洞，当一款应用软件将用户数据发送到不带认证或者不对内容进行编码的网络浏览器时容易发生。黑客可以利用浏览器中的恶意脚本获得用户的数据，破坏网站，插入有害内容，以及展开钓鱼式攻击和恶意攻击。

■ 真实案例：恶意攻击者去年针对Paypal发起了攻击，他们将Paypal用户重新引导到另一个恶意网站并警告用户，他们的账户已经失窃。用户们被引导到另一个钓鱼式网站上，然后输入自己的Paypal登录信息、社会保险号和信用卡资料。Paypal公司称，它在2006年6月修复了那个漏洞。

■ 如何保护用户：利用一个白名单来验证接到的所有数据，来自白名单之外的数据一律拦截。另外，还可以对所有接收到的数据进行编码。OWASP说：“验证机制可以检测攻击，编码则可以防止其他恶意攻击者在浏览器上运行的内容中插入其他脚本。”

2、注入漏洞

■ 问题：当用户提供的数据被作为指令的一部分发送到转换器（将文本指令转换成可执行的机器指令）的时候，黑客会欺骗转换器。攻击者可以利用注入漏洞创建、读取、更新或者删除应用软件上的任意数据。在最坏的情况下，攻击者可以利用这些漏洞完全控制应用软件和底层系统，甚至绕过系统底层的防火墙。

■ 真实案例：俄罗斯黑客在2006年1月份攻破了美国罗得岛政府网站，窃取了大量信用卡资料。黑客们声称SQL注入攻击窃取了5.3万个信用卡账号，而主机服务供应商则声称只被窃取了4113个信用卡账号。

■ 如何保护用户：尽可能不要使用转换器。OWASP组织说：“如果你必须使用转换器，那么，避免遭受注入攻击的最好方法是使用安全的API，比如参数化指令和对象关系映射库。”

3、恶意文件执行

■ 问题：黑客们可以远程执行代码、远程安装rootkits工具或者完全攻破一个系统。任何一款接受来自用户的文件名或者文件的网络应用软件都是存在漏洞的。漏洞可能是用PHP语言写的，PHP是网络开发过程中应用最普遍的一种脚本语言。

■ 真实案例：一位青少年程序员在2002年发现了Guess.com网站是存在漏洞的，攻击者可以从Guess数据库中窃取20万个客户的资料，包括用户名、信用卡号和有效期等。Guess公司在次年受到联邦贸易委员会调查之后，同意升级其安全系统。

■ 如何保护用户：不要将用户提供的任何文件写入基于服务器的资源，比如镜像和脚本等。设定防火墙规则，防止外部网站与内部系统之间建立任何新的连接。

4、不安全的直接对象参照物

■ 问题：攻击者可以利用直接对象参照物而越权存取其他对象。当网站地址或者其他参数包含了文件、目录、数据库记录或者关键字等参照物对象时就可能发生这种攻击。

银行网站通常使用用户的账号作为主关键字，这样就可能在网络接口中暴露用户的账号。

OWASP说：“数据库关键字的参照物通常会泄密。攻击者可以通过猜想或者搜索另一个有效关键字的方式攻击这些参数。通常，它们都是连续的。”

■ 真实案例：澳大利亚的一个税务网站在2000年被一位用户攻破。那位用户只是在网站地址中更改了税务ID账号就获得了1.7万家企业的详细资料。黑客以电子邮件的方式通知了那1.7万家企业，告知它们的数据已经被破解了。

■ 如何保护用户：利用索引，通过间接参照映射或者另一种间接法来避免发生直接对象参照物泄密。如果你不能避免使用直接参照，那么在使用它们之前必须对网站访问者进行授权。

5、跨站指令伪造

■ 问题：这种攻击简单但破坏性强，它可以控制受害人的浏览器然后发送恶意指令到网络应用软件上。这种网站是很容易被攻击的，部分原因是因为 
它们是根据会话cookie或者“自动记忆”功能来授权指令的。各银行就是潜在的被攻击目标。

Williams说：“网络上99％的应用软件都是易被跨站指令伪造漏洞感染的。现实中是否发生过某人因此被攻击而损失钱财的事呢？也许连各银行都不知道。对于银行来说，整个攻击看起来就像是用户登录到系统中进行了一次合法的交易。”

■ 真实案例：一位名叫Samy的黑客在2005年末利用一个蠕虫在MySpace网站上获得了100万个“好友”资料，在成千上万个MySpace网页上自动出现了“Samy是我的英雄”的文字。攻击本身也许是无害的，但是据说这个案例证明了将跨站脚本与伪造跨站指令结合在一起所具备的威力。另一个案例发生在一年前，Google网站上出现了一个漏洞，外部网站可以利用那个漏洞改变用户的语言偏好设置。

■ 如何保护用户：不要依赖浏览器自动提交的凭证或者标识。OWASP说：“解决这个问题的唯一方法是使用一种浏览器不会记住的自定义标识。”

6、信息泄露和错误处理不当

■ 问题：各种应用软件产生并显示给用户看的错误信息对于黑客们来说也是有用的，那些信息可能将用户的隐私信息、软件的配置或者其他内部资料泄露出去。

OWASP说：“各种网络应用软件经常通过详细或者调试出错信息将内部状态信息泄露出去。通常，这些信息可能会导致用户系统受到更有力的攻击。”

■ 真实案例：信息泄露是通过错误处理不当发生的，ChoicePoint在2005年的崩溃就是这种类型的典型案例。攻击者假扮是ChoicePoint的合法用户在公司人员信息数据库中寻找某个人的资料，随后窃取了16.3万个消费者的记录资料。ChoicePoint后来对包含敏感数据的信息产品的销售进行了限制。

■ 如何保护用户：利用测试工具，比如OWASP的WebScarab Project等来查看应用软件出现的错误信息。OWASP说：“未通过这种方法进行测试的应用软件几乎肯定会出现意外错误信息。”

另一个方法是：禁止或者限制在错误处理中使用详细信息，不向用户显示调试信息。

7、不安全的认证和会话管理

■ 问题：如果应用软件不能自始至终地保护认证证书和会话标识，用户的管理员账户就会被攻破。应注意隐私侵犯和认证系统的基础原理并进行有效监控。

OWASP说：“主要验证机制中经常出现各种漏洞，但是攻击往往是通过注销、密码管理、限时登录、自动记忆、秘密问题和账户更新等辅助验证功能展开的。” 

■ 真实案例：微软公司曾经消除过Hotmail中的一个漏洞，恶意Java脚本程序员曾经在2002年利用这个漏洞窃取了许多用户密码。这个漏洞是一家联网产品转售商发现的，包含木马程序的电子邮件可以利用这个漏洞更换Hotmail用户的操作界面，迫使用户不断重新输入他们的密码，并在用户不知情的情况下将它们发送给黑客。

■ 如何保护用户：通信与认证证书存储应确保安全性。传输私人文件的SSL协议应该是应用软件认证系统中的唯一选择，认证证书应以加密的形式进行保存。

另一个方法是：除去认证或者会话管理中使用的自定义cookie。

8、不安全的加密存储设备

■ 问题：虽然加密本身也是大部分网络应用软件中的一个重要组成部分，但是许多网络开发员没有对存储中的敏感数据进行加密。即便是现有的加密技术 
，其设计也是粗制滥造的。

OWASP说：“这些漏洞可能会导致用户敏感数据外泄以及破坏系统的一致性。”.

■ 真实案例：TJX数据失窃案中，被窃取的信用卡和提款卡账号达到了4570万个。加拿大政府调查后认为，TJX未能升级其数据加密系统。

■ 如何保护用户：不要开发你自己的加密算法。最好只使用已经经过审批的公开算法，比如AES、RSA公钥加密以及SHA-256或者更好的SHA-256。

另外，千万不要在不安全渠道上传送私人资料。

OWASP说，现在将信用卡账号保存起来是比较常见的做法，但是明年就是《信用卡行业数据安全标准》发布的最后期限，以后将不再将信用卡账号保存起来。

9、不安全的通信

■ 问题：与第8种漏洞类似，这种漏洞出现的原因是因为在需要对包含敏感信息的通信进行保护时没有将网络流通的数据进行加密。攻击者们可以获得包括证书和敏感信息的传送在内的各种不受保护的会话内容。因此，PCI标准要求对网络上传输的信用卡信息进行加密。 

■ 真实案例：这次又是一个关于TJX的例子。华尔街日报的报道称，调查员们认为，黑客利用了一种类似于望远镜的天线和笔记本电脑来窃取通过无线方式传输的用户数据。

有报道称：“众多零售商的无线网络安全性还比不上许多人自己的局域网。TJX使用的是WEP加密系统而不是安全性更好的WPA加密系统。 

■ 如何保护用户：在所有经过认证的连接上利用SSL，或者在敏感信息传输过程中使用SSL。SSL或者类似的加密协议应该加载在客户端、与在线系统有关的合作伙伴、员工和管理员账户上。利用传输层安全或者协议级加密系统来保护基础结构各部分之间的通信，比如网络服务器与数据库系统之间的通信。

10、未对网站地址的访问进行限制

■ 问题：有些网页的访问应该是受限于一小部分特权用户，比如管理员。然而这些网页通常并不具备真正的保护系统，黑客们可以通过猜测的方式找出这些地址。  Williams说，如果某个网站地址对应的ID号是123456，那么黑客会猜想123457对应的地址是什么呢？

OWASP说，针对这种漏洞的攻击被称作强迫浏览，通过猜测的方式去猜周围的链接并找出未经保护的网页。 

■ 真实案例：Macworld Conference大会网站上有一个漏洞，用户可以免费获得价值1700美元的高级访问权限和史蒂夫·乔布斯的演讲内容。这个漏洞是在客户端而非服务器上评定用户的访问权限的，这样人们就可以通过浏览器中的Java脚本获得免费权限。

■ 如何保护用户：不要以为用户们不知道隐藏的地址。所有的网站地址和业务功能都应受到一个有效访问控制机制的保护，这个机制可以检验用户的身份和权限。

马云说，战略首先是谁是你的客户，其次是你能为客户创造什么价值，第三是如何把这些价值传递给客户，即战略执行。

马云：一个一流的创意加三流的执行，我宁可喜欢一个一流的执行。三流的创意，一个没有计划性、不可操作的创意，有的时候只会让大家越来越痛苦。有想法的人不断要提醒自己别乱七八糟想。当然幸亏你不是队长，你要是队长的话，你会让整个队可能更辛苦。

马云：战略第一要素，要明白谁是你的客户；第二点， 你为他们创造什么样的价值；第三， 你怎么传递这些价值到你的客户上面， 　还要考虑到竞争对手，有很多要素。