惡意軟件猖獗 Web開發者難辭其咎
原創【51CTO.com快譯自9月9日外電頭條】最新的IBM研究報告顯示,今年上半年,連接到惡意網頁的鏈接數量激增為去年同期的500%,黑客們不斷的把互聯網上的瀏覽者神不知鬼不覺的引誘到挖好的陷阱之中,惡意威脅防不勝防。
數據來自于IBM最新發布的X-Force 2009年年中趨勢和風險評估報告,報告發現惡意軟件編寫者正在使用越來越復雜的手段試圖感染用戶,包括入侵合法網站以及在博客和社交網絡的網頁中張貼惡意鏈接。
在網絡應用方面,黑客們正熱衷于使用SQL注入和跨站點腳本等攻擊技術將盜取數據的木馬程序植入合法網站,感染網站的正常訪問者。關于SQL注入和跨站腳本攻擊的防御請參考51CTO.com提供的技術文章《如何防止SQL注入方式入侵》和《如何應對跨站腳本攻擊》
從2008年第四季度到2009年第一季度期間,SQL攻擊的數量增加了50%,而隨后從2009年第一季度到第二季度期間,這個數字幾乎翻了一倍。據報道,就在幾天前,一項新的SQL攻擊侵入了超過5萬個站點。根據51CTO.com今年9月第二周的安全周報顯示,跨站腳本已取代SQL注入,成Web漏洞王。
IBM互聯網安全系統部高級安全顧問Craig Lawson認為,網絡應用的開發者應該為惡意軟件猖獗的現狀負責,他們不應該讓自己編寫的代碼這么容易受到破壞,而操作系統或網絡服務器的供應商并不該替他們受到譴責。
“網絡應用開發者在發布他們的作品之前并沒有充分的檢查代碼,”他說,“全世界的C程序員都在操作系統上編碼,微軟能做到在30天內發布補丁已經是了不起的事情,他們幾乎是在讓一艘戰艦掉頭。”
“但在另一邊,有很多網站開發者使用花哨的Flash等開發工具隨意寫出HTML代碼,然后走人。”
Lawson說許多網絡應用軟件的開發商提供的補丁已經晚了12個月。
“網絡應用的漏洞本應是最容易解決的,”他說,“你所要做的無非就是升級和刷新一下代碼。因此無論如何,比起其他人,網絡開發者幾乎沒有借口讓自己懶惰。”
根據IBM的報告,新漏洞的增長速度似乎有所減慢。
IBM X-Force的高級技術專家James Rendell說,與2008年上半年相比,新發現漏洞的實際數量下降了8%,但這其中有差不多一半的漏洞供應商仍未提供補丁。
“從這些未打補丁的漏洞中可以看出,網絡應用框架供應商的問題表現的最明顯,”他補充說,“從整體上來看,蘋果公司做的最好,雖然這并不能反映軟件的質量,但至少說明這家公司在發布補丁和修補漏洞方面是非常努力的。”
【編輯推薦】
【51CTO.com譯稿,非經授權請勿轉載。合作站點轉載請注明原文譯者和出處為51CTO.com,且不得修改原文內容。】
原文:Lazy web devs blamed for malware frenzy 作者:Phil Muncaster, Brett Winterford
