周报全文
2008-07-16 16:07    文章来源:网界网

[周报全文]Web安全之攻防战争

作者:网界网 赵晓涛

关注Web站点

Web应用的发展,对网站产生越来越重要的作用,而越来越多的网站在此过程中也因为存在安全隐患而成为Web安全重灾区。在黑客的眼里,网站并非是一个提供互联网服务和信息交流的平台,而是可以成为被低成本利用获取利益的一个途径。

根据启明星辰发布的2008Web安全统计报告,显示中国大陆网站遭入侵导致网页被篡改成倍增长。截至到今年二季度,仅网页篡改数量已经是2004年的30倍,达到61228起,这还不包含未被官方披露的数字。Web安全问题几乎成为网站不能承受之重,追溯起来诱因很多。

第一,大多数网站设计,只考虑正常用户稳定使用。

一个网站设计者更多地考虑满足用户应用,如何实现业务。很少考虑网站应用开发过程中所存在的漏洞,这些漏洞在不关注安全代码设计的人员眼里几乎不可见。大多数网站设计开发者,网站维护人员对网站攻防技术的了解甚少。在正常使用过程中,即便存在安全漏洞,正常的使用者也不会察觉。但在黑客对漏洞敏锐的发现和充分的利用下,网站存在的这些漏洞就被挖掘出来了,且成为黑客们直接或间接获取利益的机会。

第二,网站防御措施过于落后。

大多数传统的基于特征识别的入侵防御技术或内容过滤技术,对保护网站抵御黑客攻击的效果不佳。比如对SQL注入、跨站脚本这种特征不唯一的网站攻击,基于特征匹配技术防御攻击,不能精确阻断攻击。

大量黑客通过构建任意表达式来绕过防御设备固化的特征库。比如:and 1=1and 2=2是一类数据库语句,但可以人为地任意构造数字构成同类语句的不同特征。而and=等这些标识在Web提交数据库应用中又是普遍存在的表达符号,不能作为攻击的唯一特征。因此,这就很难基于特征标识来构建一个精确阻断SQL注入攻击的防御系统。这也导致目前有很多黑客将SQL注入成为入侵网站的首选攻击技术之一。基于应用层构建的攻击,防火墙更是束手无策。

第三,黑客入侵后未被及时发现。

一些黑客在获取网站的控制权限之后并不暴露自己,而是利用所控制网站产生直接利益。

网页挂马就是一种利用网站,将浏览网站的人种植其木马的一种非常隐蔽且直接获取利益的主要方式之一。访问网站而被种植木马的人通常并不知情,导致一些用户的机密信息被窃取。网站成了黑客散布木马的一个渠道。网站本身虽然能够提供正常服务,但访问网站的人却遭受着木马程序的危害。

第四,发现安全问题不能彻底解决。

网站技术发展较快、安全问题日益突出,但由于关注重点不同,绝大多数的网站开发与设计公司对网站安全代码设计方面了解甚少。 即使发现网站安全存在问题和漏洞,其修补方式也只是停留在页面修复,很难针对网站具体的漏洞原理对源代码进行改造。这些也是为什么有些网站虽然安装了网页防篡改、网站恢复软件后仍然遭受攻击的原因。

1  2  3  4  5  
责任编辑:程永来

文章评论

发表评论
查看全部
评论加载中...请稍后

精彩专题