Mordecai Kraushar演示：2013 ISC大会揭秘Web应用漏洞利用

Mordecai Kraushar是一位在信息安全领域有着深厚背景的专业人士，他是CipherTechs公司的安全审计主管，也是OWASP（Open Web Application Security Project，开放网络应用安全项目）的项目领导，活跃于纽约分会。9月23日至25日，他在中国互联网安全大会（ISC2013）上进行了关于“Broken Web Apps”主题的现场教学，分享了如何评估和破解Web应用程序的安全漏洞。 在本次大会中，Kraushar着重探讨了Web应用程序的安全评估与传统网络评估之间的差异。网络评估通常涉及成熟且稳定的TCP/IP协议，通过防火墙进行有效的防御，其评估方法论相对成熟，如侦察、发现、指纹识别、枚举和利用等，常用工具包括Nmap、Vulnerability Manager和Metasploit，目标通常是获取shell访问权限，结果相对可预测。 相比之下，Web应用程序评估则面临更为复杂的挑战。由于新技术不断涌现，如Web服务、移动平台、不同类型的数据库（如Ruby on Rails、Django和Node.js）、以及业务逻辑和人类因素的介入，使得Web应用的安全问题更加多变和难以捉摸。许多Web应用并非故意设计时就有漏洞，而是无意中被打破，而另一些则是出于恶意目的被有意构建的弱点。 Kraushar强调，虽然Web应用评估的不确定性增加了风险，但随着技术的发展和安全社区的努力，评估方法也在逐步改进。然而，尽管工具和策略多样化，但与成熟的网络评估相比，Web应用的评估结果仍存在较大的不确定性，这主要是因为其动态性和复杂性所带来的挑战。 他还提到了OWASP Broken Web Application Project（破损Web应用项目），这是一个致力于识别、理解和解决Web应用程序安全问题的项目，该项目旨在帮助开发人员和安全专家理解并修复这些漏洞，以提高Web应用的安全防护能力。 Mordecai Kraushar在ISC2013上的演讲内容深入浅出地剖析了Web应用安全评估的独特性，突显了在这个快速变化的技术环境中，确保Web应用程序安全的重要性，并提供了实用的评估方法和工具，这对于企业和开发者来说是一次宝贵的学习机会。