业务流程缺陷出现安全风险

运行安全的网站意味着不仅仅是防范跨站脚本和SQL注入攻击。 Web安全公司的首席技术官周四表示，Web站点底层业务流程中的缺陷也可能带来严重的安全风险。

Web站点的流程或业务逻辑缺陷可以证明黑客具有高利润，需要很少技术来利用，有时在技术上不是非法利用，WhiteHat Security首席技术官Jeremiah Grossman在Source Boston Security Showcase上表示，“如果你知道要寻找什么，这些问题是很常见的，”他说。

[进一步阅读：如何从Windows PC中删除恶意软件]

他提供了几个这些漏洞的例子，包括在网站设计，验证码验证系统和用户权限中发现的漏洞。利用这些服务的人往往被禁止使用服务，尽管有时他们被起诉。

2007年，一名女子被指控通过利用其商业逻辑中的缺陷，骗取QVC 412,000美元。她通过家庭购物网络订购了1,800件商品，然后在其网站上取消了订单。美国司法部表示，她获得了返还商品的信贷，但无论如何都将这些物品寄给了她，并在eBay上出售了这些物品。当易趣用户联系收到仍在包装中的物品时，QVC意识到了这一点。该女子最终承认犯有电汇欺诈行为。

如果密码重置功能会提出明显的问题，并且黑客拥有关于其受害者的小部分信息，则可能会导致未经授权的帐户访问。格罗斯曼提供了一个涉及前移动服务提供商Sprint的例子。他说，要重置密码，黑客只需要知道一个人的手机号码和基本信息，例如他们住的地方或他们驾驶的汽车。这可能使黑客能够以受害者的名义订购新手机或在手机上安装新的服务。

如果优惠券号码相互接近，则电子优惠券对商家构成风险。格罗斯曼说，一名零售商在黑客写了一个脚本来发现只有几位数字的优惠券号码后，发现其中一些高价商品售价仅为几美元。零售商在系统日志发现问题时发现了夜间正在处理的大量订单，而黑客的脚本正在运行。

黑客可以说服其他网络冲浪者为他们解决Captcha测试，方法是将他们引诱到网站并承诺免费音乐或成人内容。验证码要求一个人破译一串混乱的人物来注册服务，如Web电子邮件帐户。网络冲浪者通过代理服务器向黑客发送Captchas，黑客随后使用它来注册多个电子邮件帐户，以发送垃圾邮件或其他活动。

“只要你有足够的用户来到您的网站，您的Captcha解决了，“Grossman说。 “坏人想要击败这些验证码，这样他们就可以发送垃圾邮件。”

另一个缺陷是授予用户访问网站的所有部分的权限，当他们在那里登录或输入特定服务的密码时。例如，一家爱沙尼亚公司的员工在2004年注册了美国商业新闻的新闻发布服务。它发现网站上的网址有时包含尚未公开的新闻发布信息。通过使用搜索URL的程序，公司的员工能够发现敏感的业务和财务信息。根据这些信息购买和出售股票后，这些员工赚取了780万美元，但也遭到了美国监管机构的欺诈指控。

他指出，可能有很多类似的案例从未曝光，因为肇事者是从未被抓住过。

他说，网络安全不仅仅限于质量保证，还包括正确设计Web应用程序，以包括如何设置服务的操作