寻找Web服务安全漏洞的真实故事

时间:2009-04-08 13:07:31

标签: security

我是一名全职软件开发人员,但在一边,我正在教授一门关于网络服务的大学课程。我现在正在检查安全问题,并且想知道你们是否有任何安全漏洞,你可以告诉我(我需要的细节可以隐藏),我可以与学生分享。真实的故事比制作场景更有意义......

3 个答案:

答案 0 :(得分:4)

以下是我的故事:

我曾经是在线有声读物商店的客户。除了使用用户名和密码验证自己,我还需要我的浏览器接受cookie。这并不罕见。存储会话ID可能需要cookie。

但我感到困惑,因为会话ID也在URL中传输,我没有看到为什么需要cookie的原因。所以我查看了我的饼干罐,看看哪些重要信息必须存储在cookie中。

除会话ID的cookie旁边还有另一个名为customer_id的cookie,显然被指定为通过我的客户编号识别我。我想:“来吧,没有人可以成为这个傻瓜!”我通过更改数字的一位数(例如从12345到12346)改变了乐趣的价值,看看会发生什么。

现在猜测一下:我现在以不同的用户登录,没有任何进一步的身份验证请求只需更改cookie! customer_id Cookie值明显不仅仅用于识别(我是谁?),还用于身份验证(我真的是我假装的人吗? )!

这个故事的寓意: Always separate identification from authentication.

答案 1 :(得分:1)

这可能不是您的想法,因为没有任何信息泄露,但它仍然非常一个网络安全问题。

http://www.crime-research.org/library/grcdos.pdf

这是关于互联网安全大师史蒂夫吉布森的网站如何被僵尸网络攻击的经典故事。这是一个非常有趣的故事,肯定会让班级参与其中。我知道这个故事让我对网络安全更感兴趣。

我在Steve Gibson的网站(grc.com)上找不到该pdf的原始帖子,但我在我的计算机上有一个副本,并且能够搜索它并在给定位置找到它。

我还建议去grc.com并听“现在安全!”播客:

http://www.grc.com/securitynow.htm

你几乎肯定会听到其中一些播客的故事。

希望这有帮助!

答案 2 :(得分:1)

慕尼黑的欧洲身份大会(EIC 2009)将以SOA安全为例,展示您所寻求的信息。