據(jù)安全專家表示，近日發(fā)生在美國連鎖超市Hannaford Bros的一個安全入侵事件的起因是，黑客利用了內(nèi)部系統(tǒng)中的一個代碼漏洞。

　　上個月Hannaford Bros超市透露，入侵者攻入了它的公司網(wǎng)絡(luò)，并竊取了大約420萬客戶的信用卡信息。

　　據(jù)稱在顧客刷卡后在被認證的過程中，黑客設(shè)法下載該卡的信息。(詳細報道請參見《黑客入侵美一超市泄露400萬銀行卡信息》)

　　安全公司Fortify軟件的創(chuàng)始人兼首席科學家Brian Chess表示，在這次入侵中黑客采取的手法顯示是利用了一個軟件缺陷。

　　他表示，“鑒于幾乎所有商店中的服務(wù)器都被入侵這樣一個事實，攻擊者極有可能是發(fā)現(xiàn)了一個普遍應(yīng)用于所有商店的應(yīng)用軟件中的漏洞，并使用惡意軟件利用了這個漏洞。”

　　Brian猜測，黑客首先攻入了這個超市的內(nèi)部企業(yè)網(wǎng)絡(luò)，然后通過簡單的網(wǎng)絡(luò)掃描來找出所有攻擊目標服務(wù)器。他們?nèi)缓蟀l(fā)現(xiàn)在一個運行在所有機器上的軟件中存在一個安全漏洞。

　　許多企業(yè)對邊界網(wǎng)絡(luò)的安全威脅防護很重視，但是對于內(nèi)部系統(tǒng)的安全性卻相對不夠關(guān)注。

　　Chess補充說，在Hannaford Bros超市一案例中一件有意思的事情是，這個超市被認為是通過了支付卡行業(yè)標準，可見即時遵循了支付卡行業(yè)規(guī)則也未必保證萬無一失。

　　他表示，“這個連鎖超市已經(jīng)通過了支付卡行業(yè)認證，但是支付卡行業(yè)對于內(nèi)部系統(tǒng)的機器的安全問題重視不足。”

　　舉個例子來說，該安全專家指出支付卡行業(yè)數(shù)據(jù)安全標準(PCI DSS)6.6條款中指出，企業(yè)必須“確保所有面向網(wǎng)絡(luò)的應(yīng)用程序?qū)σ阎�的攻擊進行防護，措施有以下兩條：委托一家專注于應(yīng)用程序安全的機構(gòu)來檢查客戶應(yīng)用程序的漏洞;在面向網(wǎng)絡(luò)的應(yīng)用之前安裝一個應(yīng)用層防火墻。”

　　這意味著Hannaford Bros并沒有違反相關(guān)規(guī)定，因為它的web應(yīng)用之用于企業(yè)內(nèi)部網(wǎng)絡(luò)中。

　　Chess表示，“支付卡行業(yè)數(shù)據(jù)安全標準并非是一把安全鎖，通過了它的認證并不意味著會一切都安枕無憂，它只是幫助人們避免重復犯一些過去的錯誤。”

標簽： 安全 代碼 防火墻 服務(wù)器 漏洞 網(wǎng)絡(luò)

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。