CNET科技資訊網 7月11台北報道 安全組織9日發布2007年十大Web安全漏洞，而利用網頁及cookies寫作漏洞的跨站腳本攻擊(XSS)登上首位。

　　開放Web軟件安全計劃(Open Web Application Security Project,OWASP)台灣分會今發表2007十大Web安全漏洞，年初曾發生在知名文件閱讀器Adobe Acrobat Reader上的跨站腳本攻擊(Cross Site Scripting,XSS)居首位。

　　而上周疑似使微軟英國網站被駭的隱碼攻擊(Injection Flaw，包括SQL Injection及Command Injection)居次，第三位則是Web應用程序引入外部惡意程序的惡意文件執行攻擊(Malicious File Execution)。

　　OWASP台灣分會主席黃耀文在新聞稿中表示，該安全漏洞報告乃經由OWASP的資深安全專家，依Web安全弱點的嚴重性、與是否易于被黑客採用等依據所選出，作為網站開發人員開發時的安全參考。

　　在Web 2.0流行風潮下，新的網頁應用程序開發與相關技術(如AJAX)的應用，成為網站欲出奇致勝的重點，但在網站經營者爭相提供創新網頁服務的情況下，網頁應用程序的安全性也成為新的問題。

　　趨勢科技台灣技術顧問簡勝財便指出，包括跨站腳本攻擊與數據隱碼攻擊等上榜漏洞，多半都是因網頁應用程序寫作不當，才產生讓黑客得以入侵的漏洞。

　　他認為，網頁應用程序開發人員多半缺乏安全相關訓練，導致開發出的程序可能存在漏洞，導致黑客得以入侵網頁，進而竄改網頁、植入惡意程序，或偷取數據，他認為，企業網頁開發人員進行網頁程序開發時，應更嚴謹，避免類似事件再次發生。

　　他並以6月底發生在意大利等歐洲國家，萬余網站遭入侵的事件為例解釋，黑客已可利用特殊工具包(toolkit)，主動搜索網站漏洞，進而入侵、竄改網頁內容，甚至造成大規模網災，提醒網頁應用漏洞的普遍性，以及一旦遭黑客利用所可能造成的嚴重後果。

　　廠商則建議企業採用網頁應用防護設備設備來檢測網站漏洞。

　　例如阿碼科技(Armorize Technologies)即推出網頁應用程序原始碼檢測器CodeSecure Verifier，以自動靜態分析(Automated Static Analysis)技術，提供網頁應用程序開發人員從開發過程到上線後的開發生命周期的原始程序代碼分析。

　　至于NetContinuum、F5與Check Point等廠商，則是推出網頁應用防火牆(Web Application Firewall)，或將其功能整並入如UTM等網絡安全硬件中，以阻隔針對網頁應用而來的攻擊的方式，達到保護網頁應用安全性的目標。

　　OWASP 2007十大Web安全漏洞第四至第十名分別為：應用程序可任意訪問文件的Insecure Direct Object Reference、讓合法使用者執行惡意程序指令卻可能被允許的Cross-Site Request Forgery(CSRF)、錯誤信息洩露機密數據的Information Leakage and Improper Error Handling、身份驗証功能缺陷的Broken Authentication and Session Management、敏感數據加密不安全或無加密的Insecure Cryptographic Storage、傳輸數據未加密Insecure Communication，以及因無權限控制導致可直接存取數據的Failure to Restrict URL Access。(馬培治)