网站安全令人堪忧,问题何在?
易管天下 www.egtx.net 来源:网摘 赛迪网
WEB应用的发展,使网站产生越来越重要的作用,而越来越多的网站在此过程中也因为存在安全隐患而遭受到各种攻击;例如:网页被挂马、网站SQL注入,导致网页被篡改、网站被查封,甚至被利用成为传播木马给浏览网站用户的一个载体。在那些黑客的眼里,网站并非是一个提供互联网服务和信息交流的平台,反而成为可以被低成本利用获取价值的一个途径。
我们看看当前网站安全状况,数字的增长速度令人震惊。具不完全统计,这几年中国大陆网站入侵导致网页被篡改成倍增长;2007年仅网页篡改已经是2004年的30倍,达到61228,这还不包含未被官方披露的数字:
还有很多网站被黑客所利用,进行网页挂马。导致浏览这些网页的人自动被种植木马。可以说经常上网人几乎都遭遇过网页木马,轻则使系统异常、成为黑客们的傀儡终端,重责导致个人敏感数据被盗。以下只是曾经被媒体披露过的一部分事件;
河南省政府网:2006年,主页篡改;数字安徽网:2006年,网页挂马;河南省人事厅:2006年,黑客入侵;中国银联:2006年,网页挂马;必胜客&肯德基:2006年,网页挂马;成都市档案局网站:2007年,主页篡改;eNET硅谷动力网站:2007年1月11日,网页挂马;赛迪网::2007年2月10日,网页挂马;天极网:2007年3月20日,网页挂马;东方卫士网站:2007年3月30日,网页挂马;新浪汽车频道:2007年5月22日,网页挂马;海尔官方网站:2007年8月11日,网页挂马;木蚂蚁绿色软件园:2007年10月25日,网页挂马;千千静听官方网站:2007年12月22日,网页挂马;Pchome电脑之家网站:2007年12月28日,网页挂马;绿色软件网:2008年1月11日,网页挂马;酷狗网:2008年4月16日,网页挂马;红心中国我赛网事件:2008.4.19,主页篡改。
到底问题何在?追溯起来诱因很多:
一、大多数网站设计,只考虑正常用户稳定使用
一个网站设计者更多的考虑满足用户应用,如何实现业务。很少考虑网站应用开发过程中所存在的漏洞,这些漏洞在不关注安全代码设计的人员眼里几乎不可见,大多数网站设计开发者、网站维护人员对网站攻防技术的了解甚少;在正常使用过程中,即便存在安全漏洞,正常的使用者并不会察觉。但在黑客对漏洞敏锐的发觉和充分利用的动力下,网站存在的这些漏洞就被挖掘出来,且成为黑客们直接或间接获取利益的机会。Web应用程序SQL注入漏洞,通过搜寻1000个网站取样测试,检测到有11.3%存在SQL注入漏洞。
二、网站防御措施过于落后,甚至没有真正的防御
大多数防御传统的基于特征识别的入侵防御技术或内容过滤技术,对保护网站抵御黑客攻击的效果不佳。比如对SQL注入、跨站脚本这种特征不唯一的网站攻击,基于特征匹配技术防御攻击,不能精确阻断攻击。因为黑客们可以通过构建任意表达式来绕过防御设备固化的特征库,比如:and 1=1 和 and 2=2是一类数据库语句,但可以人为任意构造数字构成同类语句的不同特征。而and、=等这些标识在WEB提交数据库应用中又是普遍存在的表达符号,不能作为攻击的唯一特征。因此,这就很难基于特征标识来构建一个精确阻断SQL注入攻击的防御系统。导致目前有很多黑客将SQL注入成为入侵网站的首选攻击技术之一。基于应用层构建的攻击,防火墙更是束手无策。
网站防御不佳还有另一个原因,有很多网站管理员对网站的价值认识仅仅是一台服务器或者是网站的建设成本,为了这个服务器而增加超出其成本的安全防护措施认为得不偿失。而实际网站遭受攻击之后,带来的间接损失往往不能用一个服务器或者是网站建设成本来衡量,很多信息资产在遭受攻击之后造成无形价值的流失。不幸的是,很多网站负责的单位、人员,只有在网站遭受攻击后,造成的损失远超过网站本身造价之后才意识就这一点。
