網(wǎng)站安全令人堪憂的問題何在？

申請免費(fèi)試用、咨詢電話：400-8352-114

WEB應(yīng)用的發(fā)展，使網(wǎng)站產(chǎn)生越來越重要的作用，而越來越多的網(wǎng)站在此過程中也因?yàn)榇嬖诎踩[患而遭受到各種攻擊;例如：網(wǎng)頁被掛馬、網(wǎng)站SQL注入，導(dǎo)致網(wǎng)頁被篡改、網(wǎng)站被查封，甚至被利用成為傳播木馬給瀏覽網(wǎng)站用戶的一個(gè)載體。在那些黑客的眼里，網(wǎng)站并非是一個(gè)提供互聯(lián)網(wǎng)服務(wù)和信息交流的平臺，反而成為可以被低成本利用獲取價(jià)值的一個(gè)途徑。

我們看看當(dāng)前網(wǎng)站安全狀況，數(shù)字的增長速度令人震驚。具不完全統(tǒng)計(jì)，這幾年中國大陸網(wǎng)站入侵導(dǎo)致網(wǎng)頁被篡改成倍增長;2007年僅網(wǎng)頁篡改已經(jīng)是2004年的30倍，達(dá)到61228，這還不包含未被官方披露的數(shù)字：

還有很多網(wǎng)站被黑客所利用，進(jìn)行網(wǎng)頁掛馬。導(dǎo)致瀏覽這些網(wǎng)頁的人自動被種植木馬?？梢哉f經(jīng)常上網(wǎng)人幾乎都遭遇過網(wǎng)頁木馬，輕則使系統(tǒng)異常、成為黑客們的傀儡終端，重責(zé)導(dǎo)致個(gè)人敏感數(shù)據(jù)被盜。以下只是曾經(jīng)被媒體披露過的一部分事件;

河南省政府網(wǎng)：2006年，主頁篡改;數(shù)字安徽網(wǎng)：2006年，網(wǎng)頁掛馬;河南省人事廳：2006年，黑客入侵;中國銀聯(lián)：2006年，網(wǎng)頁掛馬;必勝客&肯德基：2006年，網(wǎng)頁掛馬;成都市檔案局網(wǎng)站：2007年，主頁篡改;eNET硅谷動力網(wǎng)站：2007年1月11日，網(wǎng)頁掛馬;東方衛(wèi)士網(wǎng)站：2007年3月30日，網(wǎng)頁掛馬;新浪汽車頻道：2007年5月22日，網(wǎng)頁掛馬;海爾官方網(wǎng)站：2007年8月11日，網(wǎng)頁掛馬;木螞蟻綠色軟件園：2007年10月25日，網(wǎng)頁掛馬;千千靜聽官方網(wǎng)站：2007年12月22日，網(wǎng)頁掛馬;Pchome電腦之家網(wǎng)站：2007年12月28日，網(wǎng)頁掛馬;綠色軟件網(wǎng)：2008年1月11日，網(wǎng)頁掛馬;酷狗網(wǎng)：2008年4月16日，網(wǎng)頁掛馬;紅心中國我賽網(wǎng)事件:2008.4.19，主頁篡改。

到底問題何在?追溯起來誘因很多：

一、大多數(shù)網(wǎng)站設(shè)計(jì)，只考慮正常用戶穩(wěn)定使用

一個(gè)網(wǎng)站設(shè)計(jì)者更多的考慮滿足用戶應(yīng)用，如何實(shí)現(xiàn)業(yè)務(wù)。很少考慮網(wǎng)站應(yīng)用開發(fā)過程中所存在的漏洞，這些漏洞在不關(guān)注安全代碼設(shè)計(jì)的人員眼里幾乎不可見，大多數(shù)網(wǎng)站設(shè)計(jì)開發(fā)者、網(wǎng)站維護(hù)人員對網(wǎng)站攻防技術(shù)的了解甚少;在正常使用過程中，即便存在安全漏洞，正常的使用者并不會察覺。但在黑客對漏洞敏銳的發(fā)覺和充分利用的動力下，網(wǎng)站存在的這些漏洞就被挖掘出來，且成為黑客們直接或間接獲取利益的機(jī)會。Web應(yīng)用程序SQL注入漏洞，通過搜尋1000個(gè)網(wǎng)站取樣測試，檢測到有11.3%存在SQL注入漏洞。

二、網(wǎng)站防御措施過于落后，甚至沒有真正的防御

大多數(shù)防御傳統(tǒng)的基于特征識別的入侵防御技術(shù)或內(nèi)容過濾技術(shù)，對保護(hù)網(wǎng)站抵御黑客攻擊的效果不佳。比如對SQL注入、跨站腳本這種特征不唯一的網(wǎng)站攻擊，基于特征匹配技術(shù)防御攻擊，不能精確阻斷攻擊。因?yàn)楹诳蛡兛梢酝ㄟ^構(gòu)建任意表達(dá)式來繞過防御設(shè)備固化的特征庫，比如：and 1=1 和 and 2=2是一類數(shù)據(jù)庫語句，但可以人為任意構(gòu)造數(shù)字構(gòu)成同類語句的不同特征。而and、=等這些標(biāo)識在WEB提交數(shù)據(jù)庫應(yīng)用中又是普遍存在的表達(dá)符號，不能作為攻擊的唯一特征。因此，這就很難基于特征標(biāo)識來構(gòu)建一個(gè)精確阻斷SQL注入攻擊的防御系統(tǒng)。導(dǎo)致目前有很多黑客將SQL注入成為入侵網(wǎng)站的首選攻擊技術(shù)之一?；趹?yīng)用層構(gòu)建的攻擊，防火墻更是束手無策。

網(wǎng)站防御不佳還有另一個(gè)原因，有很多網(wǎng)站管理員對網(wǎng)站的價(jià)值認(rèn)識僅僅是一臺服務(wù)器或者是網(wǎng)站的建設(shè)成本，為了這個(gè)服務(wù)器而增加超出其成本的安全防護(hù)措施認(rèn)為得不償失。而實(shí)際網(wǎng)站遭受攻擊之后，帶來的間接損失往往不能用一個(gè)服務(wù)器或者是網(wǎng)站建設(shè)成本來衡量，很多信息資產(chǎn)在遭受攻擊之后造成無形價(jià)值的流失。不幸的是，很多網(wǎng)站負(fù)責(zé)的單位、人員，只有在網(wǎng)站遭受攻擊后，造成的損失遠(yuǎn)超過網(wǎng)站本身造價(jià)之后才意識就這一點(diǎn)。

三、黑客入侵后，未被及時(shí)發(fā)現(xiàn)

有些黑客通過篡改網(wǎng)頁來傳播一些非法信息或炫耀自己的水平，但篡改網(wǎng)頁之前，黑客肯定基于對漏洞的利用，獲得了網(wǎng)站控制權(quán)限。這不是最可怕的，因?yàn)楹诳驮讷@取權(quán)限后沒有想要隱蔽自己，反而是通過篡改網(wǎng)頁暴露自己，這雖然對網(wǎng)站造成很多負(fù)面影響，但黑客本身未獲得直接利益。更可怕的是，黑客在獲取網(wǎng)站的控制權(quán)限之后，并不暴露自己，而是利用所控制網(wǎng)站產(chǎn)生直接利益;網(wǎng)頁掛馬就是一種利用網(wǎng)站，將瀏覽網(wǎng)站的人種植其木馬的一種非常隱蔽且直接獲取利益的主要方式之一。訪問網(wǎng)站而被種植木馬的人通常也不知情，導(dǎo)致一些用戶的機(jī)密信被竊取。網(wǎng)站成了黑客散布木馬的一個(gè)渠道。網(wǎng)站本身雖然能夠提供正常服務(wù)，但訪問網(wǎng)站的人卻遭受著木馬程序的危害。這種方式下，黑客們通常不會暴露自己，反而會盡量隱蔽，正好比暗箭難防，所以很多網(wǎng)站被掛木馬數(shù)月仍然未被察覺。由于掛馬原理是木馬本身并非在網(wǎng)站本地，而是通過網(wǎng)頁中加載一個(gè)能夠讓瀏覽者自動建立另外的下載連接完成木馬下載，而這一切動作是可以很隱蔽的完成，各個(gè)用戶不可見，因此這種情況下網(wǎng)站本地的病毒軟件也無法發(fā)現(xiàn)這個(gè)掛馬實(shí)體。

四、發(fā)現(xiàn)安全問題不能徹底解決

網(wǎng)站技術(shù)發(fā)展較快、安全問題日益突出，但由于關(guān)注重點(diǎn)不同，絕大多數(shù)的網(wǎng)站開發(fā)與設(shè)計(jì)公司，網(wǎng)站安全代碼設(shè)計(jì)方面了解甚少，發(fā)現(xiàn)網(wǎng)站安全存在問題和漏洞，其修補(bǔ)方式只能停留在頁面修復(fù)，很難針對網(wǎng)站具體的漏洞原理對源代碼進(jìn)行改造。這些也是為什么有些網(wǎng)站安裝網(wǎng)頁放篡改、網(wǎng)站恢復(fù)軟件后仍然遭受攻擊。我們在一次網(wǎng)站安全檢查過程中，曾經(jīng)戲劇化的發(fā)現(xiàn)，網(wǎng)站的網(wǎng)頁放篡改系統(tǒng)將早期植入的惡意代碼也保護(hù)了起來。這說明很少有人能夠準(zhǔn)確的了解網(wǎng)站安全漏洞解決的問題是否徹底。

目前網(wǎng)站安全狀況令人堪憂，在如此多的問題之下，很多網(wǎng)站都處于安全風(fēng)險(xiǎn)很高的境界。由于網(wǎng)站的開放網(wǎng)絡(luò)訪問環(huán)境、各種各樣的黑客工具，使黑客們獲取利的益效率快速提升，致使越來越多的網(wǎng)站正在遭受著這些攻擊或面臨著這些威脅。當(dāng)前的網(wǎng)站安全狀況，可以用下圖做一個(gè)總結(jié)。

黑客們利用最常用的攻擊方式入侵網(wǎng)站，獲取到網(wǎng)站相關(guān)數(shù)據(jù)的讀寫權(quán)限，并根據(jù)自己的獲取利益的目標(biāo)層層遞進(jìn)，開始作案、直至獲取利益。SQL注入攻擊、網(wǎng)頁掛馬等都是當(dāng)今最常見用的網(wǎng)站攻擊。而就在黑客入侵這一時(shí)刻，對網(wǎng)站還沒有造成敏感的經(jīng)濟(jì)損失，很多網(wǎng)站用戶、網(wǎng)站的管理員在此期間并未察覺。直至網(wǎng)站造成明顯傷害、黑客獲取了利益之后才被網(wǎng)站用戶或管理員發(fā)現(xiàn)，這時(shí)網(wǎng)站管理員才去找問題或解決問題。但已經(jīng)造成損失，甚至還不易彌補(bǔ)。

在這種狀態(tài)下可以看見網(wǎng)站安全的三個(gè)方面不足

1、網(wǎng)站安全防護(hù)不足，目前的網(wǎng)站防護(hù)針對SQL注入、網(wǎng)頁掛馬防護(hù)措施相對薄弱，甚至可以說基本沒有防護(hù)。

2、缺乏網(wǎng)站安全檢測，目前的檢測往往是發(fā)現(xiàn)造成傷害之后才有所察覺。絕大多數(shù)用戶沒有實(shí)時(shí)的對網(wǎng)站安全狀態(tài)進(jìn)行檢測。網(wǎng)站有新漏洞、網(wǎng)頁被掛馬等狀況，用戶并不能及時(shí)察覺。而一些對安全問題敏感的網(wǎng)站，設(shè)有專門負(fù)責(zé)網(wǎng)站安全的開發(fā)維護(hù)人員，負(fù)責(zé)安全開發(fā)驗(yàn)證、安全運(yùn)營實(shí)時(shí)監(jiān)控，甚至災(zāi)難備份機(jī)制;但這種成本和代價(jià)太高，因此大多數(shù)網(wǎng)站無法效仿;

3、網(wǎng)站安全響應(yīng)滯后，由于缺乏網(wǎng)站安全檢測，用戶的響應(yīng)往往在造成損失之后，發(fā)現(xiàn)事故才能去響應(yīng);這種響應(yīng)并無法有效阻止黑客獲取利益，降低損失。

網(wǎng)站安全強(qiáng)化

可見，如果要強(qiáng)化網(wǎng)站安全，也必須從這些幾個(gè)視角入手解決才算有效;

1、強(qiáng)化網(wǎng)站安全防護(hù)，尤其是針對SQL注入等針對網(wǎng)站入侵防護(hù)需要加強(qiáng);

2、引入網(wǎng)站檢測體制，能夠定期檢查網(wǎng)站存在的安全漏洞，也能在黑客實(shí)施網(wǎng)頁掛馬后及時(shí)準(zhǔn)確的發(fā)現(xiàn)掛馬的網(wǎng)頁;以保障黑客在獲取利益前及時(shí)察覺。

3、根據(jù)網(wǎng)站的檢測，擴(kuò)展響應(yīng)的內(nèi)容，而不僅僅是有事故才響應(yīng)，有漏洞、有木馬也同樣做出響應(yīng);

有幸的是，近期我們發(fā)現(xiàn)啟明星辰公司已經(jīng)推出圍繞網(wǎng)站安全的產(chǎn)品和服務(wù)，包括安星網(wǎng)站安全體檢服務(wù)、針對網(wǎng)站SQL注入、跨站腳本等入侵防御的天清IPS產(chǎn)品、以及從源代碼角度修補(bǔ)網(wǎng)站安全問題的應(yīng)急服務(wù)和白盒測試服務(wù)等等，受到金融、企業(yè)、政府等關(guān)注自身網(wǎng)站安全用戶的一致好評。在當(dāng)今網(wǎng)站安全問題越演越烈，專業(yè)安全廠家也在積極的出臺一系列的安全措施，推動網(wǎng)站走向安全運(yùn)行。（比特網(wǎng)）