安全专家建议Twitter改变防止蠕虫病毒方法
2009年04月20日 09:28
新浪科技讯 北京时间4月19日上午消息,据国外媒体报道,针对最近Twitter上出现的多起蠕虫病毒事件,安全软件厂商Stratus Security创始人彼得·索德林(Peter Soderling)认为,Twitter应采用更为简单且有效的“输出转码”方式规避风险。
Twitter近日在官方博客中称,已解决了最近多个Mikeyy蠕虫病毒变种问题,但该网站仍建议用户避免查看包含“异常或其他可疑Twitter信息”的用户个人资料页面。但索德林指出,这种“输入过滤”的方式将很难解决问题,他认为:“Twitter应该采用更为简单且有效的‘输出转码’方式,对Script标签编码使其无法在受感染用户的浏览器中运行。”
输入过滤是开发人员阻止用户所输入数据中无效、错误或恶意数据在其应用程序中执行的方式,例如,Twitter用户可以在页面输入框中输入姓名、用户名、电子邮件地址、URL等,也可以通过输入6个十六进制的字符改变背景颜色,当用户点击“保存修改”按钮时,这些数据被判断有效或安全后,将被传送到Twitter的服务器并保存,但这也可能使服务器误认为所收到的一些恶意信息并非“恶意”,这也正是Mikeyy蠕虫病毒所利用的漏洞。该病毒的始作俑者迈克尔·摩尼(Michael Mooney)表示:“这基本上可以让我通过浏览器在Twitter上为所欲为。”
输出转码与输入过滤类似,是开发人员可以在创建网络应用程序时采用的附加的预防手段。索德林指出,此方法可以解释任何存储在数据库中的恶意代码,他建议Twitter重点采用输出转码方式规避风险。索德林称,输出转码仅需5个步骤执行,较输入过滤更为简单。实际上,PHP已经有htmlspecialchars函数可以自动处理该进程。索德林称:“Tiwtter所做的只是对Script标签编码,使恶意代码无法在任何浏览器中执行。
Twitter并非是存在类似安全漏洞的唯一一家网站。开发人员吉列尔莫·劳赫(Guillermo Rauch)也测试发现Digg网站有此漏洞,并通知了后者。
(网页编辑:Stev)
