QQ登录

只需一步,快速开始

扫一扫,访问微社区

登录 | 注冊 | 找回密码

163 加中网–加拿大曼尼托巴中文门户网站 | 温尼伯华人论坛

 找回密码
 注冊

QQ登录

只需一步,快速开始

扫一扫,访问微社区

查看: 295|回复: 2
打印 上一主题 下一主题

[闲聊] eWeek实验室:黑客伊甸园挑战应用程序弱点!

[复制链接]
跳转到指定楼层
1#
匿名  发表于 2002-10-29 16:13:33 回帖奖励 |倒序浏览 |阅读模式
你听到隆隆声了吗? 就让攻击开始吧!? <BR>Openhack 4攻击测试10月14下午5点开始,到11月1日下午5点结束。这次我们不仅要测试开发技术与应用程序,也要做一个怎样去制定防御计划和怎样提供多层连锁层安全的示范。eWeek实验室与一群技术提供者再一次进入安全测试企业体系,在真实的环境下测试企业系统的坚固性。 <BR>增加应用安全测试 <BR>前三次OpenHack攻击测试有两个Openhack的目标系统——电子商务服务器和数据库被攻击。另外三个目标——电子邮件服务器、域名服务器和Web服务器由于有防火墙保护而没有遭到攻击,也没有任何人获得根目录访问权。对黑客们来说,这只是摧毁电子商务Web站点的挑战,但这次可靠性与可控性企业应用测试是极难得的机会,将会真正检验黑客们的水平。第四次OpenHack攻击测试我们适当的增加了应用安全测试的内容。 以前未知的Web应用代码安全漏洞使得未经授权者通过了隔火墙,并导致了OpenHack 1和OpenHack 2被成功攻陷。因此,Web应用程序设计技术在Openhack 4中关闭了监视。(Openhack 3由可信赖操作系统保护,使得攻击没有成功。) <BR>虽然每个Web应用是不同的,但是它们的基本安全技术是相同的:输入的查询字符串与超级文本传输协议参数必须得到证实;产生超级文本标志语言的代码必须防御cross-site脚本攻击;存取数据库代码需要预防SQL(结构化查询语言)攻击;数据库自己需要加强坚固性,防止别人通过应用程序弱点访问它。然而,退一步说,在一个应用程序中确信所有发生的变量、页与参数是很有挑战的。 <BR>两套系统担要职 <BR>在建立Openhack站点过程中,我们选定两家主要系统软件供应商——微软公司和甲骨文公司。做为推荐平台,我们请求他们给应用程序重新编码以用于安全演习。微软公司与甲骨文公司在他们选择的硬件设备、操作系统、应用服务器与数据库上,对应用程序做了配置和保护。 每个公司都对服务器的安全结构负责。 <BR>微软.Net架构下的IIS 5.0与SQL Server 2000,都运行在Windows 2000 Advanced Server版上。甲骨文公司的Oracle9i Application Server第二版和Oracle9i Database第二版运行在Red Hat公司的Red Hat Linux Advanced Server 2.1版上。eWEEK设立并保护站点的稳定。站点的主机建立在惠普公司美国华盛顿贝勒维的安全实验室里,惠普公司的安全顾问将帮助eWeek分析测试数据。 <BR>微软和甲骨文公司的应用程序都放在www.openhack.com上,我们邀请来自全世界的黑客们为这次挑战证明他们的“133t skillz”(用黑客们的话说,就是精锐的编程技巧)。 奖金将发给成功完成所有五项单独入侵任务者。这五项任务包括: cross-site脚本代码攻击、获取动态Web页资源代码、销毁Web页、SQL注入攻击和从数据库中窃取信用卡数据。Denial-of-service攻击不包含在此列。 <BR>我们有自信,基于代码并固化的系统是妥当的,没有攻击能成功,并且我们希望这个测试会改善我们当前的Openhack一次获胜和两次失败的记录。无论哪一种攻击,第一个成功的人将获得奖赏,每一种攻击仅有一个获奖名额。 我们承认这些攻击很有意思,可是对于企业来说,攻击都会成为潜在的危险。为了获得赏金,成功的攻击者必须证明攻击方法与发现的安全漏洞。 eWeek实验室在微软和甲骨文公司的支持下,如果自己发现安全问题将修复它,或者从攻击者那里认识到存在何种漏洞。 <BR>Openhack主要的目的就是提供给eWeek读者保护企业站点安全性的信息,全部Openhack站点结构的详细资料、源编码与更新可以到www.openhack.com与www.eweek.com/openhack上获得。(根据以往的经验,Openhack站点在测试的前几天将处于严重负载的情况,因此eweek站点将提供第二通信信道)。 <BR>在微软和甲骨文公司软件上的动态Web应用将能够反复确认我们的设置。我们也将通过测试监视日志文件与入侵检测报告。<BR>
分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友 微信微信
收藏收藏 分享分享
回复

使用道具

该用户从未签到

2#
发表于 2024-4-22 17:57:44 | 只看该作者
回复 支持 反对

使用道具 举报

该用户从未签到

3#
发表于 2024-4-22 17:58:55 | 只看该作者
回复 支持 反对

使用道具 举报

发表回复
您需要登录后才可以回帖 登录 | 注冊

本版积分规则

    联系我们
  • 咨询电话:1.204.294.8528
  • 邮箱:163adv@gmail.com
  • QQ:179091654
    移动客户端:即将开放
    关注我们:
  • 扫描二维码加关注

快速回复 返回顶部 返回列表