很多”Hacker Safe”认证的网站并不安全
“Hacker Safe”是ScanAlert公司(已被McAfee收购)为电子商务网站提供的一种安全认证,声称“经Hacker Safe认证的网站足以预防99%以上的骇客犯罪”。但事实似乎并没有如此乐观。
一家专门从事“跨站脚本攻击”(cross-site scripting vulnerabilities)跟踪的网站 XSSed.com就发布了一个62个存在跨站脚本攻击的网站名单,这些网站全部获得了hacker safe的认证。
“跨站脚本攻击”是一项对客户威胁非常大的网站安全漏洞,指的是骇客在网站的某些网页中插入html代码或者客户端脚本,当客户浏览这些网页时,这些代码会自动运行,把客户的网页cookies自动发送给骇客。因此,对于电子商务网站来说,跨站脚本攻击是一种很大的威胁,因为它会窃取客户的银行帐号、信用卡密码等重要信息。
一些博客也报道了经过hacker safe认证的网站存在跨站脚本攻击的问题,请看这里和这里(这两个链接国内需代理)。
ScanAlert公司对这些报道并没有给出正面回应,而只是强调跨站脚本攻击不在hacker safe的认证范围内,而且这种攻击对电子商务网站的服务器不构成威胁,威胁主要是对客户的。
Many ‘Hacker Safe’ Web Sites Found Vulnerable
(via InformationWeek) More than 60 Web sites certified to be “Hacker Safe” by McAfee’s ScanAlert service have been vulnerable to cross-site scripting (XSS) attacks over the past year, including the ScanAlert Web site itself. While the XSS hole in the ScanAlert site and others have been addressed, some apparently have not been, leaving visitors potentially vulnerable to client-side attacks.
Joseph Pierini, director of enterprise services for the ScanAlert “Hacker Safe” program, maintains that XSS vulnerabilities can’t be used to hack a server.Read more.
Discussion Area - Leave a Comment