7月第4周安全回顾 Web安全威胁目标转移 Excel成垃圾新贵

简介:
 
    本周(0724至0729)安全方面值得关注的新闻集中在Web安全、反垃圾邮件和服务器安全方面。

Web安全:Java运行环境将成为下一波Web安全威胁的主要目标

新闻:周一,Symantec的技术人员在该公司blog说,针对Java运行环境(Runtime Environment)的攻击是一种新的安全威胁,之前虽然曾有研究人员发布过Java安全问题的研究报告,但实现攻击都比较困难。这次Symantec DeepSight威胁响应小组发现,由于前一段Java运行环境以及它的组件发现了一些漏洞,互联网上针对这些漏洞的攻击活动显著增加。

分析:从90年代中期Sun推出Java开始,Java就被认为是一种安全的跨平台语言,它的初始设计使其对其他语言中常见的缓冲区溢出、权限过大等漏洞免疫。虽然之前曾有一些研究人员发表过Java安全的研究报告和演示,但他们所采用的Java环境都是经过修改,在默认安装中不曾存在的。但Java的这个安全记录在近一段时间被Java 运行环境及其他组件所爆出的漏洞打破:今年1月,Sun发布了Java 运行环境GIF图像缓冲区溢出漏洞;7月3日,SecurityFocus发布了Sun JDK JPG/BMP图像处理器多个漏洞;7月9日,eEye发布了Java 运行环境 Webstart JNLP文件堆栈溢出漏洞。值得注意的是,这些漏洞都针对Java运行环境,安全业界对Java安全的兴趣正从Java语言本身转移到Java的客户端运行环境中,攻击者同样会考虑利用公开的Java运行环境漏洞发起新一波来自Web的攻击。和上周笔者所建议注意的Flash漏洞一样,由于Java运行环境在客户端机器上的部署数量大,其自动的安全升级也相对滞后,因此,笔者认为,虽然目前互联网上尚未出现大规模的针对Java运行环境的攻击,用户也要明白这类攻击的严重程度和其他攻击的并无两样。用户应该及时到Sun的官方网站及其他相关厂商的页面上更新自己的Java环境,切勿浏览不安全的网站,有条件的用户还可以使用IDS/IPS增加防护的层次,并及时更新IDS/IPS的特征码数据库。

统计显示80%存在恶意代码的网站为合法网站

新闻:
周二,反病毒厂商Sophos发布了2007年上半年病毒报告,报告中指出2007年上半年Web取代E-mail成为恶意代码攻击发起的主要来源,在包含恶意代码的网站中,有80%的网站是被黑客所入侵控制的合法网站,其中又以使用Apache web服务器的为主。

分析:Web取代E-mail成为恶意代码攻击的主要来源已经成为安全业界的共识,但Sophos的病毒报告所统计出来的“包含恶意代码的网站80%是合法网站”这一结果可能会让用户感到意外,但实际情况和报告中提到的并无太大的出入。由于用户的安全意识日益增强,对E-mail或其他来源的网络链接不会随便点击,而合法网站的访问量要远远大于攻击者自己架设的恶意网站,合法网站很自然就成为黑客发起攻击的首选目标。国内互联网的情况也大同小异,游戏、财经、论坛等网站都是黑客经常攻击的目标。网站管理员的维护水平和响应速度的参差不齐也是导致合法网站占包含恶意代码的网站的80%的重要原因。笔者认为,网站应该和用户、安全行业应该加强沟通,提高网站管理员的安全技术水平、保持用户和网站之间通畅的沟通渠道,还有安全行业及时提供最新的技术和威胁反馈,这样,才能尽可能的减少合法网站成为攻击者传播恶意代码帮凶的可能性。

反垃圾邮件:Excel文件成为垃圾邮件发送者的新选择

新闻:
周一,来自Mcafee Avert实验室的消息,继前三周使用PDF作为附件的垃圾邮件持续增长外,研究人员捕获了新的垃圾邮件变种。这种垃圾邮件使用Excel的XLS文档作为附件,并在XLS中插入了包含广告内容的图片。

分析:如同安全业界在PDF附件的垃圾邮件开始流行的时候预测的那样,垃圾邮件发送者很快就把附件格式转移到其他普通用户机器上常用的文件格式。可以预见,垃圾邮件发送者将逐渐放弃在邮件主题或内容上进行改变的方式,更多的使用各种文件格式的附件作为广告信息的载体。Office系列的文档格式将是未来一段时间垃圾邮件发送者要使用的附件,但由于普通用户机器上常见文件格式不多,垃圾邮件发送者将采用多种格式嵌套使用的方式,来躲避垃圾邮件过滤方案的拦截,例如此次Mcafee发现的XLS垃圾邮件便是由内嵌有图片的XLS文档,再经过zip压缩过再发送的。另外,Office系列的文档作为垃圾邮件附件还会给用户带来恶意软件威胁,垃圾邮件发送者还有可能在垃圾邮件附件中带有Office漏洞溢出代码的Office文档。这样如果用户不慎打开附件,用户有可能以为附件是损坏的Office文件,其实很有可能已经感染恶意软件。对此类文档附件的垃圾邮件,安全业界目前尚无很有效的防御方式,只能依靠用户自己提高安全意识,不要开启来自非可信地址的邮件及其附件。

服务器安全:虚拟化环境安全手册即将推出

新闻:
周五,非盈利性组织互联网安全中心(Center for Internet Security, CIS)即将推出业界第一份描述虚拟化环境安全模型、提供虚拟化环境安全配置方法的手册。

分析:因为虚拟化应用有设备利用率高、节省开支、用户友好等优点,企业越来越多的使用虚拟化技术。但同时由于虚拟化环境与实体环境有诸多的不同点,常见的实体环境安全配置方法并不完全适用于虚拟化环境,许多用户也因为安全问题而对虚拟化技术保持观望的态度。笔者认为,CIS即将推出的虚拟化环境安全手册是安全业界对虚拟化 安全技术的有益尝试,也将对推进企业部署虚拟化应用产生积极的影响,国内的安全厂商也可以适当关注一下这方面的技术发展。










本文转自J0ker51CTO博客,原文链接:http://blog.51cto.com/J0ker/36203,如需转载请自行联系原作者

相关文章
|
6天前
|
SQL 负载均衡 安全
安全至上:Web应用防火墙技术深度剖析与实战
【10月更文挑战第29天】在数字化时代,Web应用防火墙(WAF)成为保护Web应用免受攻击的关键技术。本文深入解析WAF的工作原理和核心组件,如Envoy和Coraza,并提供实战指南,涵盖动态加载规则、集成威胁情报、高可用性配置等内容,帮助开发者和安全专家构建更安全的Web环境。
18 1
|
8天前
|
安全 前端开发 Java
Web安全进阶:XSS与CSRF攻击防御策略深度解析
【10月更文挑战第26天】Web安全是现代软件开发的重要领域,本文深入探讨了XSS和CSRF两种常见攻击的原理及防御策略。针对XSS,介绍了输入验证与转义、使用CSP、WAF、HTTP-only Cookie和代码审查等方法。对于CSRF,提出了启用CSRF保护、设置CSRF Token、使用HTTPS、二次验证和用户教育等措施。通过这些策略,开发者可以构建更安全的Web应用。
36 4
|
7天前
|
安全 Go PHP
Web安全进阶:XSS与CSRF攻击防御策略深度解析
【10月更文挑战第27天】本文深入解析了Web安全中的XSS和CSRF攻击防御策略。针对XSS,介绍了输入验证与净化、内容安全策略(CSP)和HTTP头部安全配置;针对CSRF,提出了使用CSRF令牌、验证HTTP请求头、限制同源策略和双重提交Cookie等方法,帮助开发者有效保护网站和用户数据安全。
30 2
|
10天前
|
存储 安全 Go
Web安全基础:防范XSS与CSRF攻击的方法
【10月更文挑战第25天】Web安全是互联网应用开发中的重要环节。本文通过具体案例分析了跨站脚本攻击(XSS)和跨站请求伪造(CSRF)的原理及防范方法,包括服务器端数据过滤、使用Content Security Policy (CSP)、添加CSRF令牌等措施,帮助开发者构建更安全的Web应用。
43 3
|
12天前
|
SQL 安全 Go
PHP在Web开发中的安全实践与防范措施###
【10月更文挑战第22天】 本文深入探讨了PHP在Web开发中面临的主要安全挑战,包括SQL注入、XSS攻击、CSRF攻击及文件包含漏洞等,并详细阐述了针对这些风险的有效防范策略。通过具体案例分析,揭示了安全编码的重要性,以及如何结合PHP特性与最佳实践来加固Web应用的安全性。全文旨在为开发者提供实用的安全指南,帮助构建更加安全可靠的PHP Web应用。 ###
27 1
|
15天前
|
Kubernetes 安全 应用服务中间件
动态威胁场景下赋能企业安全,F5推出BIG-IP Next Web应用防火墙
动态威胁场景下赋能企业安全,F5推出BIG-IP Next Web应用防火墙
34 3
|
1月前
|
缓存 安全 JavaScript
掌握JAMstack:构建更快、更安全的Web应用
JAMstack 是一种现代 Web 开发架构,结合 JavaScript、APIs 和 Markup,创建更快、更安全的 Web 应用。其核心优势包括高性能、安全性、可扩展性和易维护性。JAMstack 通过预构建静态页面和 API 实现高效渲染,利用静态站点生成器如 Gatsby 和 Next.js,并借助 CDN 和缓存策略提升全球访问速度。尽管面临复杂交互、SEO 和数据更新等挑战,但通过 Serverless Functions、预渲染和实时 API 更新等方案,这些挑战正逐步得到解决。
|
1月前
|
监控 安全 Apache
构建安全的URL重定向策略:确保从Web到App平滑过渡的最佳实践
【10月更文挑战第2天】URL重定向是Web开发中常见的操作,它允许服务器根据请求的URL将用户重定向到另一个URL。然而,如果重定向过程没有得到妥善处理,可能会导致安全漏洞,如开放重定向攻击。因此,确保重定向过程的安全性至关重要。
55 0
|
1月前
|
云安全 SQL 安全
数字时代下的Web应用程序安全:漏洞扫描服务的功能与优势
在当今这个数字化时代,Web应用程序不仅是企业与用户之间互动的桥梁,更是企业展示服务、传递价值的核心平台。然而,随着技术的不断进步,Web应用程序的复杂性也在不断增加,这为恶意攻击者提供了可乘之机。安全漏洞的频发,如SQL注入、跨站脚本攻击(XSS)、跨站请求伪造(CSRF)等,严重威胁着企业的数据安全、服务稳定性乃至经济利益。在这样的背景下,漏洞扫描服务作为一道重要的安全防线,显得尤为重要。本文将深入探讨漏洞扫描服务在面对Web应用程序安全问题时,所具备的功能优势。
|
2月前
|
SQL 开发框架 安全
Web开发中常见的安全缺陷及解决办法
Web开发中常见的安全缺陷及解决办法

热门文章

最新文章