难以被察觉的网站风险

来源 :中国计算机报 | 被引量 : 0次 | 上传用户:nihaohaoya
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
  一个网站设计者往往更多地考虑满足用户应用,如何实现业务,很少考虑网站应用开发过程中所存在的漏洞。这些漏洞在不关注安全代码设计的人员眼里几乎不可见。大多数网站设计开发者、网站维护人员对网站攻防技术了解甚少,在正常使用过程中,即便存在安全漏洞,正常的使用者也不会察觉。
  但在黑客的目光下,网站存在的漏洞被挖掘出来,且成为黑客直接或间接获取利益的机会:通过搜寻1000个网站取样测试,检测到有11.3%存在Web应用程序的SQL注入漏洞。
  
  网站防御措施过于落后
  
  大多数防御传统的基于特征识别的入侵防御技术或内容过滤技术,对保护网站抵御黑客攻击的效果不佳。比如对SQL注入、跨站脚本这种特征不惟一的网站攻击,基于特征匹配技术防御攻击不能精确阻断攻击。因为黑客们可以通过构建任意表达式来绕过防御设备固化的特征库,比如:and 1=1 和 and 2=2是一类数据库语句,但可以人为任意构造数字构成同类语句的不同特征。
  而and、=等这些标识在Web提交数据库应用中又是普遍存在的表达符号,不能作为攻击的唯一特征。因此,这就很难基于特征标识来构建一个精确阻断SQL注入攻击的防御系统,导致目前有很多黑客将SQL注入成为入侵网站的首选攻击技术之一。对基于应用层构建的攻击,防火墙更是束手无策。
  网站防御不佳还有另一个原因,有很多网站管理员对网站的价值认识仅仅是一台服务器或者是网站的建设成本,他们认为为了这个服务器而增加超出其成本的安全防护措施得不偿失。而实际网站遭受攻击之后,带来的间接损失往往不能用一个服务器或者是网站建设成本来衡量,很多信息资产在遭受攻击之后造成无形价值的流失。
  有些黑客通过篡改网页来传播一些非法信息或炫耀自己的水平,但篡改网页之前,黑客肯定基于对漏洞的利用,获得了网站控制权限。对网页进行篡改并不是最可怕的,可怕的是,黑客在获取网站的控制权限之后,并不暴露自己,而是利用所控制网站产生直接利益。网页挂马就是一种利用网站,将浏览网站的人种植其木马的一种非常隐蔽且直接获取利益的方式。
  访问网站而被种植木马的人通常并不知情,导致一些用户的机密信被窃取。网站成了黑客散布木马的一个渠道。网站本身虽然能够提供正常服务,但访问网站的人却遭受着木马程序的危害。这种方式下,黑客们通常不会暴露自己,反而会尽量隐蔽,所以很多网站被挂木马数月仍然未被察觉。
  由于挂马原理是木马本身并非在网站本地,而是通过在网页中加载一个能够让浏览者自动建立另外的下载连接完成木马下载。而这一切动作可以很隐蔽地完成,各个用户不可见,因此这种情况下网站本地的病毒软件也无法发现这个挂马实体。
  
  网站安全提升术
  
  目前网站安全状况令人堪忧,在如此多的问题之下,很多网站都处于安全风险很高的状况。网站的开放访问环境、各种各样的黑客工具,使黑客们获取利益效率快速提升,致使越来越多的网站正在遭受着这些攻击或面临着这些威胁。
  黑客们利用最常用的攻击方式入侵网站,获取到网站相关数据的读写权限,并根据自己获取利益的目标层层递进,直至获取利益。
  而就在黑客入侵这一时刻,对网站还没有造成经济损失,很多网站用户、管理员并未察觉。直至网站受到明显伤害,黑客获取了利益之后,网站用户或管理员才会发现,这时网站管理员才去找问题或解决问题,但已经造成损失,甚至还不易弥补。
  幸运的是,近期我们发现已经有不少专业的安全公司在关注网站安全尤其是检测问题,如启明星辰公司已经推出围绕网站安全的安星网站安全体检服务。如果要强化网站安全,也必须从以下几个视角入手解决。
  1. 强化网站安全防护,尤其是针对SQL注入等针对网站入侵防护需要加强。
  2. 引入网站检测体制,能够定期检查网站存在的安全漏洞,也能在黑客实施网页挂马后及时准确的发现挂马的网页,以保障黑客在获取利益前及时察觉。
  3. 根据网站的检测,扩展响应的内容,而不仅仅是有事故才响应,有漏洞、有木马也同样做出响应。
  需要特别提醒用户的是,由于网站技术发展较快,安全问题日益突出,但由于关注重点不同,绝大多数的网站开发与设计公司,对网站安全代码设计了解甚少,发现网站安全存在问题和漏洞后,其修补方式只能停留在页面修复,很难针对网站具体的漏洞原理对源代码进行改造。這些也是为什么有些网站安装网页防篡改、网站恢复软件后仍然遭受攻击的原因。
其他文献
你是否有过这样的经历:你打算买房,于是每个周末都顶着烈日从一个楼盘跑到另一个楼盘。终于,在看过了连自己都数不清的楼盘后,做出了购买的决定。然而这很有可能并不是一个让你满意的结果。  你是否曾希望自己悠闲地坐在家中就能够全方位了解楼盘结构,了解消费场所的特征,轻松地获取你所需要的信息呢?  如今,这一切已经变为现实。在互联网上,视频与传统行业结合的细分市场正在慢慢走入人们的视线。  随着2005年视
对于普通用户而言,3G已是一个足以引起审美疲劳的话题了,但处于暗战中的电信运营商却在每天应对着新的挑战与抉择。  近日,工业和信息化部正式发布《关于同意中国移动通信集团公司开展试商用工作的批复》,中国移动即将全面开启全国范围内28个城市的TD二期建网工作,明年初将在全国所有省会城市和计划单列市实现TD信号覆盖。与此同时,中国电信正在全国范围内进行如火如荼的CDMA大规模招标,集团董事长王晓初更表示
在2008年 Teradata 数据仓库用户及合作伙伴大会(PARTNERS 2008)上,Teradata提出了“Beyond Intelligence”(超越智能)的创新理念。Teradata公司总裁兼首席执行官迈克尔·科勒(Mike Koehler)认为,“超越智能”即动态企业智能(Active Enterprise Intelligence,AEI),它是帮助客户赢得竞争优势的核心所在。 
随着美国萨班斯法案正式生效,越来越多的在境外上市的中国企业开始遵循萨班斯法案要求。这些企业都需要考虑企业的财务报表、公司往来信息以及电子邮件的归档需求。所以,他们必须有额外的存储资源来满足自身的数据存储,并按照归档的要求来管理这些信息。现有的存储数据技术是否能满足日益庞大的信息数据积累是一个至关重要的问题。  北京敏讯科技EQArchive邮件归档系统支持RIAD0/1/5等多种数据存储方式,具有
江苏邦宁科技有限公司CEO徐毅征最欣赏的商业领袖是盛大CEO陈天桥,不仅仅因为他自己也和陈天桥一样是白手起家,在短短的几年时间里成长为富翁,更重要的是,“陈天桥非常干练和果断,他一旦认准的事情就会全力把它做好”。这应该被解读为成功者对成功者的惺惺相惜和一种“英雄所见略同”的共鸣,因为徐毅征的创业历程可以看作是对这句话的最好注脚。    创业和创富    世界上很多事情充满了偶然性,但这种偶然性中又
有一个现象让天下网董事长兼CEO居易非自己都感到疑惑:天下网的用户流量总是在每天早上7∶30、中午12∶00、晚上22∶15~23∶30这三个时间呈规律性暴涨。与此同时,天下网的用户调查结果显示,这部分上线的用户多是居住在二、三级城市,16~25岁的年轻人,而且以高中、技校学生和蓝领人群为主;他们不常上互联网,甚至有人不习惯面对电脑键盘,他们用手机上天下网没别的理由,就是图个“好玩”。  就是这样
北京新网互联科技有限公司(www.DNS.com.cn)(简称“新网互联”)总部位于北京海淀区清华科技园,注册资本1000 万。在全国设有15个分支机构,业务遍及全国三十多个省市。  公司面向基础互联网和移动互联网提供全面的应用服务,是目前国内唯一同时提供跨双互联网领域服务的企业。其中,基础业务主站:www.dns.com.cn,无线业务主站:www.bizsms.cn。  作为国内互联网应用行业
· 案例 ·     2008年2月15日,美国电影协会(MPAA)宣布,该协会下6家电影制片公司将迅雷公司告上法庭,要求迅雷赔偿700万元人民币,同时公开承认盗版行为。这6家原告公司分别是20世纪福克斯公司、索尼影片公司、派拉蒙影片公司、环球影片公司、华纳兄弟影片公司以及Buena Vista国际公司。诉状中6家原告列出了32部电影,其中包括《蝙蝠侠3》、《世界战争》、《迈阿密风云》等。MPAA
技术状态管理(Configuration Management)是一个有关产品基线定义、产品标识和更改管理的规范化和文档化的综合系统,它适用于某一产品或系统从研制到生产、直到生产后产品保障的整个生命周期。作为系统工程管理的关键组成部分,技术状态管理对大型复杂产品或系统的研制起到重要的管控作用,确保在研制、生产的任何时刻,都能使用正确的技术文件。  作为世界上使用最广泛的PLM(Product Li
海克特鲁毅智同杰瑞桑德斯(AMD创始人,前任CEO)的握手,曾经将AMD带入了一个全新的时代。2008年7月18日,海克特鲁毅智和德克梅尔的手紧紧地握在了一起。世界领先的处理器提供商AMD又完成了酝酿两年之久的权力交接计划。对于这一管理层的变换各界众说纷纭,甚至有人猜测,是由于收购ATI间接导致的亏损迫使鲁毅智不得不离开这一位置。一时间鲁毅智再次站到了舆论的风口浪尖之上。鲁毅智为何离开AMD,鲁毅