(Samy Kamkar真的只是想给女孩留下深刻印象。相反,他让网络黑客历史。
Kamkar创建第一个Web 2.0是什么虫——一个致命的错误,不能被一个防火墙,并最终迫使MySpace.com暂时关闭网站的所有者。萨米蠕虫是新一代的网络攻击的更突出一些安全专家担心可能减缓互联网发展的飞速发展协作模型称为Web 2.0。
萨米蠕虫在2005年底出现。卡门卡说他发现它在寻找一种绕过Web站点的内容发布限制和添加代码,使他的MySpace的外观形象。利用漏洞的网站代码编写,他本质上是能控制人的浏览器访问了他的形象。
“Chipolte玉米煎饼波尔和几次点击,“最快在发现漏洞Kamkar设法创建基于web的蠕虫。在20小时,蠕虫病毒已经扩散到近100万MySpace.com用户,迫使他们选择Kamkar作为他们的“英雄”,在他们的个人档案页面。新闻集团最终被迫快门MySpace为了解决这个问题,和Kamkar终于在洛杉矶高等法院缓刑三年。
真的与MyDoom和太长了虫子的过去,打击系统,造成技术问题为系统管理员,Kamkar蠕虫没有做任何伤害MySpace用户的电脑。一旦MySpace固定的问题,这是全球范围内固定。
安全专家罗伯特·汉森,网络安全咨询公司Sectheory.com的首席执行官萨米蠕虫是一个例子的网站运营商时都会出现意想不到的后果,让用户成为贡献者自己的网站。
汉森和一群志同道合的正义的研究人员,相信我们才开始看到时所出现的错误的安全合作的新一代,Web 2.0应用程序测试。
他们认为没有彻底改变浏览器与Web交互的方式,Web 2.0的安全问题只会变得更糟。
从一开始,桌面和Web服务器不是用来一起工作在一个安全的方式。随着Web 2.0将这些机器做越来越多的令人兴奋的东西,远离他们的学术,电子出版的根,压力开始显现,汉森,还维护了网站作为论坛的最新的网络攻击。
“这只是从根本上对浏览器是如何工作的,”他说。尤其是谷歌桌面,汉森的关注,因为这种类型的服务,漏洞在Web最终会影响到桌面。“如果你让一个网站可以访问你的驱动,修改,改变事情,集成,等等,你依靠网站是安全的。”
所面临的这一问题MySpace和eBay等网站每一天,但是如果谷歌公司的愿景的富桌面和Web集成成为现实,Web 2.0的安全可以为企业用户成为一个更为紧迫的问题。“从历史上看,谷歌一直不是很擅长理解这些问题,”汉森说。
虽然一些研究者不同意汉森,说谷歌在保持其网站做了一个令人钦佩的工作自由的缺陷,在很大程度上,真正的网络安全问题是外部的网站像谷歌的控制。
说:“没有浏览器安全模型Alex Stamos创始合伙人的安全咨询公司信息安全合作伙伴。“问题是,谷歌正在由网景十年前制定的规则。”
Stamos调用的Web 2.0模型共享用户生成程序,有时被称为小部件完全疯了,从安全的角度来看。
主要有两种类型的网络攻击,安全研究人员担心现在:跨站脚本攻击、跨站请求伪造。
有不同种类的跨站脚本攻击,但结果总是相同的:攻击者找出一种方式使未经授权的代码在受害者的浏览器中运行。
网站允许用户发布自己的内容使用过滤软件来防止用户发布他们的MySpace档案或eBay拍卖不安全的代码。但对于萨米蠕虫,Kamkar找到一种方法,偷偷他过去MySpace.com过滤JavaScript。
在第二个类型跨站脚本攻击,网站骗运行JavaScript代码是包含在一个Web页面的URL。这些攻击通常网页设计师让它无法工作,但是一个编程的错误可以打开门的攻击。
Web 2.0的模型集成合作伙伴——customer-generated组件到您的网站意味着管理员现在必须不仅担心自己的安全的网站,但是这些相互关联的安全件,赛斯布姆透露说,太平洋天然气和电力公司信息安全经理在旧金山。“现在你有多个盖茨辩护,”他说。
布姆透露担心正在建起许多基于web的服务之前,他们的安全风险是完全理解。例如,完整的跨站请求伪造攻击的风险在本地网络,现在仅仅是被检查,他说。
跨站请求伪造攻击,犯罪发现一种欺骗网站认为发送和接收数据从一个用户已经登录该网站。这种攻击可以用来给攻击者自由访问任何网站,尚未记录受害者。
许多网站防止这种类型的攻击通过自动日志访客后几分钟的活动,但是如果攻击者可以哄骗受害者访问恶意网站登录到几分钟后,说美国银行的网站,坏人理论上可以清理受害者的银行账户。
跨站请求伪造攻击很难实现在任何广泛的时尚,但在一个有针对性的打击,他们是有效的反对一个非常大量的网站,根据耶格罗斯曼,首席技术官WhiteHat Security。“跨站请求伪造要最大的努力在未来十年,”他说。
Web bug仍然非常普遍,但网站运营商最近才刚刚开始在支持他们共同工作。
“奇怪的是,没有太多研究,“你怎么在实践和建立一个网站,允许一个公司的最佳实践是什么为了保护自己,”Michael Barrett说CISO eBay的PayPal。“如果是一个新兴的一组最佳实践我认为许多实践者不知道它们是什么。”
巴雷特认为网络安全标准WS *规范对解决网络安全问题走了一段距离,但他认为的许多基本的Web标准,比如JavaScript和HTTP需要重构。“我们需要重新评估这些标准并有可能重写其中一些让这些东西更安全,”他说。“如果足够多的企业站起来,说这里有一个问题,那么这个行业就会开始行动。”