OWASP（開放網絡軟件安全組織）日前在臺灣舉辦第一屆官方亞洲年會，針對許多Web以及Web應用程序安全發表相關演說。其中，前Yahoo資安長Jeremiah Grossman首度發表商業邏輯漏洞（Business Logic Flaws）演說，直指這種商業邏輯漏洞將使得企業網站陷入危機，一個不注意可能導致企業營收損失。

　　Jeremiah Grossman是白帽（WhiteHat Security）安全資安顧問公司創辦人兼技術長，也是美國黑帽（Black Hat）和DefCon黑客年會講師。他從許多的資安事件發生的原因，歸納出一個對企業資安的威脅型態：商業邏輯漏洞。

　　在線拍賣造成可能的商業邏輯漏洞

　　商業邏輯漏洞其實就是，一般商業邏輯流程過程中，所出現的技術漏洞。曾經當過雅虎資安長的Jeremiah Grossman說：「在線拍賣就是一個常見的商業邏輯漏洞的案例。」

　　他進一步解釋，在線購物網站為了避免黑客以暴力手法找出用戶的密碼，通常會在密碼輸入錯誤數次之后即鎖定該賬戶。有心的黑客若要搶標，就可以利用這個邏輯上的漏洞來死鎖其他競標者，黑客只要以其他競標者的賬號，連續輸入錯誤的密碼來造成該帳戶被系統死鎖，再趁機搶標。

　　商業邏輯漏洞發生可能性廣泛

　　這樣的商業邏輯漏洞也發生在常見的密碼恢復認證機制上。Jeremiah Grossman指出，有許多Web服務機制為了降低解決用戶忘記密碼的困擾，并降低解決這類問題的成本，會設立所謂的安全問題，藉由回答安全性問題取得用戶密碼。不過，便曾經發生設定安全性問題時，其答案選項固定，嘗試幾次就會猜到。例如，安全性問題是最喜歡的顏色為何？但選項若指有紅、黑、白等3個答案時，嘗試幾次錯誤之后，就可以破解了。

　　另外，美國也有一些專業的產業媒體報導，為了怕影響股價，會在一定日期過后才能公開給特定的授權對象。Jeremiah Grossman說，這些文章其實老早就被上傳到網絡服務器上，等時間到才開放。但就有人發現每一篇文章的網址包含日期數字，具有規則性，透過猜出刊日期與文章數字的方式，輕易拆解出未公開文章的網址，并趁機獲利上百萬美元。

　　除了在線拍賣可能面臨這種商業邏輯漏洞外，同樣的方式也發生在交互式網絡電視臺、蘋果MacWorld與Steve Jobs有約、在線游戲、在線賭博等商業流程中。

　　9成網站具有商業邏輯漏洞

　　Jeremiah Grossman表示，不論是信用卡事務數據傳輸，或者是密碼復原，就是一般常見以Web為主的商業邏輯流程，這其中所有的技術弱點，都會是黑客專注攻擊的目標。根據白帽安全資安顧問公司的統計，在掃描將近1,000個網站中，將近9成網站，具有商業邏輯流程的技術弱點。

　　企業使用Web應用程序的比例越來越高，Jeremiah Grossman表示，不論這些Web應用程序是客制化或者是由第三方廠商提供，大多經過良好的質量控管檢測，加上這些可能的商業邏輯漏洞，也很難透過IDS（入侵檢測系統）定義出缺陷、漏洞在哪，網絡應用程序防火墻也很難抵抗這樣缺陷、漏洞的發生。簡而言之，就目前所有的防御工具而言，對于這種商業邏輯流程中所造成的技術漏洞，尚不能透過工具進行有效防御措施。

　　縱深防御是商業邏輯漏洞最好的預防之道

　　面對這種商業邏輯漏洞該怎么解決？Jeremiah Grossman表示，除了避免將用戶賬號、密碼留存在網絡上，容易被有心人追查相關隱私外，也建議在密碼錯誤次數太多被封鎖時，可以加上輸入圖片上數字的CAPTCHA 系統，以避免機器人暴力拆解密碼的可能性。

　　由于這種商業邏輯漏洞問題的出現，往往不是程序本身有大的疏漏，Jeremiah Grossman表示，通常是在配合企業營運流程上的某一個關鍵點上的疏漏。所以，這樣的缺陷、漏洞，也無法透過常見的IDS（入侵檢測防御系統）等工具檢查出來。

　　但Jeremiah Grossman說，還是有一些基本的預防之道。這種商業邏輯漏洞流量并未異常，因此很難藉由基本的網絡應用程序防火墻、弱點掃描、安全的設定等方式，做到防護。但從最佳實務的角度來看，至少兩名資安專家，佐以自動化的掃描工具，程序開發符合SDLC（軟件開發生命周期），做到縱深防御，有助于發現商業邏輯漏洞。

　　另外，Jeremiah Grossman也建議，企業可做到資產追蹤、安全度量以及符合開發框架等，也都是有效解決商業邏輯漏洞的方式

　　SaaS將是未來資安部署的最佳選擇

　　Jeremiah Grossman表示，自動化掃描工具將有助于企業檢視商業邏輯漏洞的資安威脅。而此次同樣來臺灣參加OWASP亞洲年會的Qualys首席資安研究員Mike Shema則指出，SaaS已經是目前自動化掃描工具的基本型態，企業可以透過SaaS部署企業資安軟件。

　　Mike Shema表示，幾年前美國企業對于SaaS（軟件即服務）的作法還不信任，對于數據不存放在自家公司感到疑慮，但現在，美國企業已經理解到：問題不在數據放哪里，而是數據本身是否夠安全。他說，也因為美國企業開始有足夠的信任，許多提供自動掃描服務功能的資安公司，例如提供Port Scan的Qualys，都以SaaS方式提供企業客戶相關的服務。

　　白帽（WhiteHat Security）安全資安顧問公司則在多年前便提供網絡掃描的服務，也是以SaaS方式提供給企業。Jeremiah Grossman則是從這樣的掃描結果，觀察出商業邏輯漏洞的資安威脅。

　　Mike Shema說，對于提供自動化掃描服務，企業對于SaaS接受度很高，加上目前許多資安服務不涉及企業內數據存放，隨著企業Web應用程序應用越來越普及，企業對于SaaS的資安服務需求將越高。

 本文國際來源 http://net.zdnet.com.cn/network_security_zone/2007/1022/570788.shtml