论文部分内容阅读
一个网站设计者往往更多地考虑满足用户应用,如何实现业务,很少考虑网站应用开发过程中所存在的漏洞。这些漏洞在不关注安全代码设计的人员眼里几乎不可见。大多数网站设计开发者、网站维护人员对网站攻防技术了解甚少,在正常使用过程中,即便存在安全漏洞,正常的使用者也不会察觉。
但在黑客的目光下,网站存在的漏洞被挖掘出来,且成为黑客直接或间接获取利益的机会:通过搜寻1000个网站取样测试,检测到有11.3%存在Web应用程序的SQL注入漏洞。
网站防御措施过于落后
大多数防御传统的基于特征识别的入侵防御技术或内容过滤技术,对保护网站抵御黑客攻击的效果不佳。比如对SQL注入、跨站脚本这种特征不惟一的网站攻击,基于特征匹配技术防御攻击不能精确阻断攻击。因为黑客们可以通过构建任意表达式来绕过防御设备固化的特征库,比如:and 1=1 和 and 2=2是一类数据库语句,但可以人为任意构造数字构成同类语句的不同特征。
而and、=等这些标识在Web提交数据库应用中又是普遍存在的表达符号,不能作为攻击的唯一特征。因此,这就很难基于特征标识来构建一个精确阻断SQL注入攻击的防御系统,导致目前有很多黑客将SQL注入成为入侵网站的首选攻击技术之一。对基于应用层构建的攻击,防火墙更是束手无策。
网站防御不佳还有另一个原因,有很多网站管理员对网站的价值认识仅仅是一台服务器或者是网站的建设成本,他们认为为了这个服务器而增加超出其成本的安全防护措施得不偿失。而实际网站遭受攻击之后,带来的间接损失往往不能用一个服务器或者是网站建设成本来衡量,很多信息资产在遭受攻击之后造成无形价值的流失。
有些黑客通过篡改网页来传播一些非法信息或炫耀自己的水平,但篡改网页之前,黑客肯定基于对漏洞的利用,获得了网站控制权限。对网页进行篡改并不是最可怕的,可怕的是,黑客在获取网站的控制权限之后,并不暴露自己,而是利用所控制网站产生直接利益。网页挂马就是一种利用网站,将浏览网站的人种植其木马的一种非常隐蔽且直接获取利益的方式。
访问网站而被种植木马的人通常并不知情,导致一些用户的机密信被窃取。网站成了黑客散布木马的一个渠道。网站本身虽然能够提供正常服务,但访问网站的人却遭受着木马程序的危害。这种方式下,黑客们通常不会暴露自己,反而会尽量隐蔽,所以很多网站被挂木马数月仍然未被察觉。
由于挂马原理是木马本身并非在网站本地,而是通过在网页中加载一个能够让浏览者自动建立另外的下载连接完成木马下载。而这一切动作可以很隐蔽地完成,各个用户不可见,因此这种情况下网站本地的病毒软件也无法发现这个挂马实体。
网站安全提升术
目前网站安全状况令人堪忧,在如此多的问题之下,很多网站都处于安全风险很高的状况。网站的开放访问环境、各种各样的黑客工具,使黑客们获取利益效率快速提升,致使越来越多的网站正在遭受着这些攻击或面临着这些威胁。
黑客们利用最常用的攻击方式入侵网站,获取到网站相关数据的读写权限,并根据自己获取利益的目标层层递进,直至获取利益。
而就在黑客入侵这一时刻,对网站还没有造成经济损失,很多网站用户、管理员并未察觉。直至网站受到明显伤害,黑客获取了利益之后,网站用户或管理员才会发现,这时网站管理员才去找问题或解决问题,但已经造成损失,甚至还不易弥补。
幸运的是,近期我们发现已经有不少专业的安全公司在关注网站安全尤其是检测问题,如启明星辰公司已经推出围绕网站安全的安星网站安全体检服务。如果要强化网站安全,也必须从以下几个视角入手解决。
1. 强化网站安全防护,尤其是针对SQL注入等针对网站入侵防护需要加强。
2. 引入网站检测体制,能够定期检查网站存在的安全漏洞,也能在黑客实施网页挂马后及时准确的发现挂马的网页,以保障黑客在获取利益前及时察觉。
3. 根据网站的检测,扩展响应的内容,而不仅仅是有事故才响应,有漏洞、有木马也同样做出响应。
需要特别提醒用户的是,由于网站技术发展较快,安全问题日益突出,但由于关注重点不同,绝大多数的网站开发与设计公司,对网站安全代码设计了解甚少,发现网站安全存在问题和漏洞后,其修补方式只能停留在页面修复,很难针对网站具体的漏洞原理对源代码进行改造。這些也是为什么有些网站安装网页防篡改、网站恢复软件后仍然遭受攻击的原因。
但在黑客的目光下,网站存在的漏洞被挖掘出来,且成为黑客直接或间接获取利益的机会:通过搜寻1000个网站取样测试,检测到有11.3%存在Web应用程序的SQL注入漏洞。
网站防御措施过于落后
大多数防御传统的基于特征识别的入侵防御技术或内容过滤技术,对保护网站抵御黑客攻击的效果不佳。比如对SQL注入、跨站脚本这种特征不惟一的网站攻击,基于特征匹配技术防御攻击不能精确阻断攻击。因为黑客们可以通过构建任意表达式来绕过防御设备固化的特征库,比如:and 1=1 和 and 2=2是一类数据库语句,但可以人为任意构造数字构成同类语句的不同特征。
而and、=等这些标识在Web提交数据库应用中又是普遍存在的表达符号,不能作为攻击的唯一特征。因此,这就很难基于特征标识来构建一个精确阻断SQL注入攻击的防御系统,导致目前有很多黑客将SQL注入成为入侵网站的首选攻击技术之一。对基于应用层构建的攻击,防火墙更是束手无策。
网站防御不佳还有另一个原因,有很多网站管理员对网站的价值认识仅仅是一台服务器或者是网站的建设成本,他们认为为了这个服务器而增加超出其成本的安全防护措施得不偿失。而实际网站遭受攻击之后,带来的间接损失往往不能用一个服务器或者是网站建设成本来衡量,很多信息资产在遭受攻击之后造成无形价值的流失。
有些黑客通过篡改网页来传播一些非法信息或炫耀自己的水平,但篡改网页之前,黑客肯定基于对漏洞的利用,获得了网站控制权限。对网页进行篡改并不是最可怕的,可怕的是,黑客在获取网站的控制权限之后,并不暴露自己,而是利用所控制网站产生直接利益。网页挂马就是一种利用网站,将浏览网站的人种植其木马的一种非常隐蔽且直接获取利益的方式。
访问网站而被种植木马的人通常并不知情,导致一些用户的机密信被窃取。网站成了黑客散布木马的一个渠道。网站本身虽然能够提供正常服务,但访问网站的人却遭受着木马程序的危害。这种方式下,黑客们通常不会暴露自己,反而会尽量隐蔽,所以很多网站被挂木马数月仍然未被察觉。
由于挂马原理是木马本身并非在网站本地,而是通过在网页中加载一个能够让浏览者自动建立另外的下载连接完成木马下载。而这一切动作可以很隐蔽地完成,各个用户不可见,因此这种情况下网站本地的病毒软件也无法发现这个挂马实体。
网站安全提升术
目前网站安全状况令人堪忧,在如此多的问题之下,很多网站都处于安全风险很高的状况。网站的开放访问环境、各种各样的黑客工具,使黑客们获取利益效率快速提升,致使越来越多的网站正在遭受着这些攻击或面临着这些威胁。
黑客们利用最常用的攻击方式入侵网站,获取到网站相关数据的读写权限,并根据自己获取利益的目标层层递进,直至获取利益。
而就在黑客入侵这一时刻,对网站还没有造成经济损失,很多网站用户、管理员并未察觉。直至网站受到明显伤害,黑客获取了利益之后,网站用户或管理员才会发现,这时网站管理员才去找问题或解决问题,但已经造成损失,甚至还不易弥补。
幸运的是,近期我们发现已经有不少专业的安全公司在关注网站安全尤其是检测问题,如启明星辰公司已经推出围绕网站安全的安星网站安全体检服务。如果要强化网站安全,也必须从以下几个视角入手解决。
1. 强化网站安全防护,尤其是针对SQL注入等针对网站入侵防护需要加强。
2. 引入网站检测体制,能够定期检查网站存在的安全漏洞,也能在黑客实施网页挂马后及时准确的发现挂马的网页,以保障黑客在获取利益前及时察觉。
3. 根据网站的检测,扩展响应的内容,而不仅仅是有事故才响应,有漏洞、有木马也同样做出响应。
需要特别提醒用户的是,由于网站技术发展较快,安全问题日益突出,但由于关注重点不同,绝大多数的网站开发与设计公司,对网站安全代码设计了解甚少,发现网站安全存在问题和漏洞后,其修补方式只能停留在页面修复,很难针对网站具体的漏洞原理对源代码进行改造。這些也是为什么有些网站安装网页防篡改、网站恢复软件后仍然遭受攻击的原因。