Web安全漏洞之企業自查
隨著中國信息化建設的高速發展,中國已經發展成全球第二大的互聯網用戶,也帶來了互聯網網站的高速發展。當前的互聯網網站已經成為信息傳播、流通、交換及存儲的重要手段。政府部門的信息化建設,使得電子政務的加速增長,越來越多的傳統辦公業務轉變成依懶互聯網的網站業務。企業的B2B、B2C業務的發展更多地依靠于網站業務的正常運行。各大商業銀行為了方便業務的開展,依懶于網站提供更多的在線服務方式。隨著網站與網頁數的與日俱增,Web安全問題變得更為嚴峻。由于互聯網網站處于全天候的開放狀態,而承載網站的應用程序具有自身無法完全克服的Web安全漏洞問題,這就為黑客的入侵提供了可乘之機。
互聯網網站與網頁存在一些安全問題,比如網站服務器易出現的以下問題:
◆網站腳本程序的Web安全問題檢測,如網站的默認數據庫,默認管理帳號(admin,root,manager等);
◆網站程序設計存在的Web安全問題檢測,網站程序設計者在編寫時,對相關的安全問題沒有做適當的處理,如SQL注入,上傳漏洞,腳本跨站執行等;
◆服務器配置不當,安全策略設置存在缺陷,可導致產品被入侵的問題檢測;
◆應用服務權限設置導致系統被入侵的問題檢測;
◆系統和服務的補丁未升級導致系統可被入侵的Web安全檢測等。
利用網站的安全漏洞,尤其是Web應用程序漏洞:如SQL 注入等,黑客能夠得到 Web 服務器的控制權限,隨意篡改網頁內容或竊取重要內部數據,更為嚴重的則是在網頁中植入惡意代碼,通過"網頁掛馬"感染更多的客戶端用戶。通過這一行為,黑客可以控制網站的訪問者甚至包括網站本單位的人員的計算機,從而實現盜取銀行帳號、內部機密信息等各種不可告人的目的。由于網頁木馬制作的簡單性和網絡漏洞存在的必然性,通過網站漏洞進行網頁掛馬已經成為當前最流行的網站攻擊方法和最受黑客青睞的木馬散播方式。2007年微軟系統的安全漏洞,以及各種應用軟件存在安全漏洞,如MS06014安全漏洞、MS07004安全漏洞、Open9.0-9.2安全漏洞、PPS安全漏洞、Web迅雷安全漏洞、Ani指針安全漏洞、暴風播放器安全漏洞、JetAudio 7.x安全漏洞、百度插件安全漏洞、PPlive安全漏洞、雅虎安全漏洞、MS07055安全漏洞、迅雷5安全漏洞、超星的安全漏洞等安全漏洞問題。各種漏洞生成的相應的漏洞利用網馬并進行掛馬,使得網頁掛馬事件得到快速的發展。
網絡信息化建設的不斷發展、核心應用業務迅速網絡化以及互聯網用戶的飛速增長,我們面臨的Web安全威脅也日益增多和復雜。根據CNCERT的最新統計數據,2007年CNCERT共接到網絡安全事件報告4390件。2007年我國大陸被篡改網站總數達到了61228個,同比增長1.5倍;其中政府網站(.gov.cn)被篡改3407個,占大陸被篡改網站的7%。CNCERT統計顯示,大陸地區約有4.3萬個IP地址主機被植入木馬,約有362萬個IP地址主機被植入僵尸程序。從以上數據可以看出,提高業務網站的Web安全防護,是保障業務正常進行的必然前提。
國內被篡改的網站為政府、學校、信息綜合門戶、知名企業等影響力高、受眾面廣的網站,而一些中小企業的網站更是易被侵入篡改。網站被篡改帶來的不良影響,不僅僅是單位組織的形象和聲譽遭到破壞,而且會直接影響以網站運營為主的業務,帶來一定的經濟上的損失。如何保護網站的安全性,是眾多網站管理員及單位組織關注的事情。除了網絡管理員提供日常管理維護,還需要專業的安全人員對網站及相關服務器的安全性進行檢測。
網站是否存在Web 應用程序漏洞,往往是被入侵后才能察覺;而網站是否已經被掛馬,通常是在被訪問者投訴或被監管部門查處才能察覺,但這個時候損失已經發生;如何在攻擊發動之前主動發現Web應用程序漏洞以及網站在掛馬發生之后迅速獲悉,已成為構筑Web安全的上上策。目前解決這一問題的通常方式就是網站的運維管理人員購買專業的Web掃描工具,同時學習專業的安全知識,并對網站進行常規掃描、高頻度檢測,但專業的掃描工具往往不能解決木馬問題,并且開銷巨大,同時面對Web網站復雜的安全需求,也有自身的一些局限性。
【編輯推薦】
