乱测 硬件评测基地 luance 乱测网 乱七八糟的硬件测试

站内搜索
查看: 2204|回复: 0

研究表明:网站安全认证标志不用太相信!

[复制链接]

超级版主

测试头衔

Rank: 20Rank: 20Rank: 20Rank: 20Rank: 20

注册时间
2014-8-17
发表于 2014-12-7 23:16:15 | 显示全部楼层
       网络企业为了让网民能够安心使用其网络服务或是网络购物,会在网站上提供由第三方企业发出的安全认证标志,但最近一份学术研究指出,具有安全认证标志的网站其实不见得比较安全。

美国纽约石溪大学(Stony Brook)电脑科学系发表一篇探索第三方安全标志生态体系的学述研究报告,针对由赛门铁克Norton、McAfee、Qualys、GoDaddy等10家企业为网站提供的安全信赖标志认证方法,以及8300多个获得这些安全信赖标志的网站安全进行研究。

通过一系列自动及人工实验,研究人员发现,标志供应商的安全检测并不彻底,导致有些不安全的网站却被认证为安全。报告指出,通过自动化及人工实验,研究人员发现第三方安全标志严重缺乏完整性及漏洞涵盖面。安全人员分析网站的安全性,像是有无采用HttpOnly Cookies、Anti-CSRF Tokens或内容安全政策等安全措施,在具有安全信赖标志的网站中仅1/3的安全性统计上较显著。

此外,安全人员发现,10家企业几乎都是使用黑箱测试方法扫瞄网站,即仅通过攻击找出漏洞,但无法深入了解网站程式撰写上的问题,因此有安全标志的网站其实也有严重漏洞。例如,研究人员在获允许进行渗透测试后,发现9个具有安全信赖标志的网站中有7个包含跨站攻击(cross-site scripting, XSS)及SQL资料隐码攻击(SQL Injection)漏洞,4个受测网站有3个包含HTTP 参数窜改漏洞及应用执行流程(application-flow)漏洞。

研究人员认为,有时候这类标志反而引来网站攻击。在两个月的观察期间,研究人员发现,所观察的网站安全信赖标志来来去去,有的原本有标志后来消失,有的则是消失后又出现标志,虽然可能是出于网站与安全公司间的合约存续关系,但也可能指涉网站的安全性变化。安全人员指出,由于企业安全标志的检测标淮都差不多,像是检查是否有某类档案,或特定SQL Statement可以被执行。黑客了解这些检测标淮后,只要锁定这些网站,就可以针对被标示不安全者进行攻击。

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

乱测 硬件评测基地 luance 乱测网 乱七八糟的硬件测试

手机版|小黑屋|乱测 ( 桂ICP备13007413号-2 桂公网安备 45142302000013号 )|

GMT+8, 2018-11-20 19:15 , Processed in 0.040500 second(s), 13 queries , Memcache On.

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表