納斯達克是全美證券商協會自動報價系統（National Associationof Securities Dealers Automated Quotations）的英文縮寫，如今，這個系統的名字已成為股票交易市場的代名詞。

信息和服務業的興起催生了納斯達克，始建于1971年的納斯達克，讓股票交易從此走入完全電子化并用電子化系統實現自我監管的時代。如今，納斯達克更已成為全美，乃至全世界范圍內最大的股票電子交易市場，不僅每天要收集和發布場外交易非上市股票的證券商報價，還要為5200多家上市公司服務，在55個國家和地區設有26萬多個計算機銷售終端。

納斯達克擁有數以億計的有價數據，它對網絡黑客來說就像一個聚寶盆。10年來，幾乎全球的黑客都在想方設法侵入納斯達克的網站。

技術精良的納斯達克？

納斯達克的網站，一向被人們認為是世界上安全保障體系最嚴格的網站之一。從建設之初，華爾街就一直以納斯達克所采用的精良技術為傲。然而，近十年來，納斯達克遭遇黑客攻擊的消息卻總是不斷傳出。

1999年9月，納斯達克和美國證券交易所兩個網站首度遭到黑客攻擊。屆時，美國證券交易所剛剛被納斯達克收購。一個自稱“聯合貸款槍手”（ULG）的組織在午夜時分成功地侵入了這兩個證交所的網站。

雖然當時黑客并沒有對系統中的財經數據采取任何行動，但是黑客組織卻在網站上留下了一條令人震驚的消息，他們打算“操縱股市暴漲，讓所有的投資者都感到高興，在他們的汽車上都貼上一張紙條，上書：感謝ULG！”

該組織聲稱，他們已在納斯達克的系統中為自己建立了一個電子郵件信箱，并宣告納斯達克的網站還存在很多漏洞。而當時，納斯達克每天的成交量已多達8億股。

雖然納斯達克網站的安全問題立即引起了華爾街的重視，并且也隨之部署了更多的安全設施。但是，時隔一年，納斯達克便再次遭到了黑客的入侵。

一個自稱“PrimeSupectz”的黑客，闖入了納斯達克網站（nasdaq.com），將“納斯達克一百指數”所在的位置換成了一句粗話。這場破壞，也令納斯達克陷入了尷尬境地，因為一向被認為技術精良的納斯達克，在一年多的時間內，網站卻遭遇到兩次黑客侵襲。

而去年7月，紐約證交所以及納斯達克公司的主網站又遭到了兩次連續的黑客攻擊。這兩次攻擊令紐約證交所的電腦系統發生了多次故障，黑客不僅發布了美國國際集團將退市等錯誤通告，還讓交易系統的交易延長了15分鐘。

專家指出，如果盲目假設互聯網上最受歡迎或是交易量最大的網站安全性一定就高，本身就是錯誤的想法。人們常常以為一個知名度高的網站必定擁有水平更高超的安全專家，但實際情況是，黑客總在不斷努力采用新的技術實施攻擊，而網站安全體系的變革卻總是落后于黑客。我們必須看清，納斯達克的安全風險已經轉向Web應用的漏洞，被動的安全技術更難以解決今天的問題。

風險來自哪里？

事實上，為了保障數據的安全和用戶的隱私權，很早納斯達克便建立了以防火墻及安全訪問管理機制為核心的安全體系。然而，現有的安全防護措施主要通過SSL安全代理、防火墻、IDS/IPS、軟件防火墻或是防病毒等工具來解決問題。由于這些安全防護措施自身的局限性，導致網站難于應對日新月異的安全攻擊，特別是目前基于正常WEB訪問而發起的WEB應用攻擊手段。所以，像納斯達克這類安全體系相對健全的網站，近年來也免不了不斷遭遇安全攻擊。

據梭子魚相關技術人員介紹，Web應用的安全風險當前要遠遠大于人們過去的認知。首先在服務器端，黑客往往會利用支付或者查詢系統自身存在的安全漏洞來侵入系統。比如，基于WEB應用的SQL注入攻擊，基于數據庫應用的OracleLinstener攻擊，以及基于操作系統的緩沖區溢出攻擊等方式，早已成為黑客集團的慣用伎倆。

此外，SSL安全代理主要依賴的是瀏覽器的正確實現以及服務器軟件和實際加密算法的支持，對于現在的一些攻擊手段，如跨站攻擊、SQL注入以及數據監聽等，SSL從技術上來講是無可奈何的。

而傳統防火墻只能檢測網絡層的攻擊，根本無法阻攔來自網絡內部的非法操作，更無法動態識別或自適應地調整規則。而編程習慣造成的眾多漏洞，更是等于為黑客敞開了通向網站“金庫”的大門。

“由于技術局限性，大多IDS產品也只能進行已知的特征檢測。由于這類設備對數據層的信息缺乏深度分析，本身的誤報、漏報率就很高，使得IPS的處理效率低下，同時它也沒有對Session或User的跟蹤，根本不能保護SSL流量?！彼笞郁~技術人員告訴記者。

再者，不管是防病毒軟件還是防火墻，采用的都是被動檢測機制，它們只能檢測到已知的病毒或木馬，對于外部的正常訪問請求更是無法識別，所以基于這兩類安全工具構建的網站安全體系，根本無法實現對合法訪問的“篩選”。

其次在客戶端，大多用戶的個人電腦其實也并不安全。用戶對網絡風險的不警覺以及用戶個人賬號密碼存放的不安全，都可能導致惡意攻擊者，利用遠程木馬或是釣魚網站獲取用戶的個人賬號及密碼，最終損害客戶的直接利益。

所以，Web安全問題近些年已成為交易類網站的最大風險源，而且有逐年飛速增長的勢頭。

為納斯達克把脈

反觀納斯達克的Web安全隱患，梭子魚發現即使是納斯達克這樣技術精良的網站，依舊存在不少風險。對于十種黑客慣用的應用程序漏洞，納斯達克網站的防護能力也非常薄弱。

第一，緩存溢出。由于應用程序的編碼會嘗試將應用數據存儲于緩存中，而不是正常的分配，這種漏洞往往被黑客所利用，變為攻擊手段。因為借助這種錯誤，惡意代碼就可以溢出到另外一個緩存中去執行。

第二.跨站點腳本攻擊。攻擊類型的代碼數據可以被插入到另外一個可信任區域的數據中，最終導致使用可信任的身份來執行攻擊，這種攻擊方式也是黑客慣用的伎倆。

第三，服務拒絕攻擊。這種攻擊會導致服務沒有能力為正常業務提供服務。

第四，異常錯誤處理的風險。當錯誤發生時，系統向用戶提交錯誤提示是很正常的事情，但是如果提交的錯誤提示中包含了太多的內容，就有可能會被攻擊者分析出網絡環境的結構或配置。

第五，非法sessionID。當sessionID沒有被正常使用時，攻擊者還可以借機破壞Web會話，并且實施多個攻擊（通過冒用其他的可信任的憑證），借此來繞開認證機制。

第六，命令注入。這一問題的風險是，如果系統沒有成功的阻止帶有語法含義的輸入內容，就有可能導致對數據庫信息的非法訪問。比如，在Web表單中輸入的內容（SQL語句），應該保持簡單，并且不應該還有可被執行的代碼內容。

第七.弱認證機制的隱患。雖然只要通過正確的開發Web應用就可以輕而易舉的避免此問題，但是在眾多已經在線使用的應用中，這類問題卻十分嚴重。而一旦黑客利用弱認證機制或者未加密的數據來獲得訪問，或是破壞、控制數據，就會造成非常嚴重的影響。

第八，未受保護的參數傳遞風險。由于利用統一資源標識符（URL）和隱藏的HTML標記可以傳遞參數給瀏覽器，所以瀏覽器在將HTML傳回給服務器之前，是不會修改這些參數的。利用這一破綻的黑客工具現在也比比皆是。

第九，不安全的存儲－對于Web應用程序來說，妥善的保存密碼，用戶名，以及其它與身份驗證有關的信息是非常重要的工作。對這些信息進行加密才是最有效的方法。然而，在實際操作過程中。大多企業卻總是采用那些未經實踐驗證的加密解決方案，這些方案本身就充滿了漏洞。

第十，非法輸入。在數據被輸入程序前忽略對數據合法性的檢驗，是一個常見的編程漏洞。在對Web應用程序脆弱性的調查中，非法輸入問題已經成為大多數Web應用程序的最典型漏洞之一。

用“透明人”完成Web安全防護

經過一番研究，梭子魚為納斯達克提出了一套更完善的Web安全解決方案。

首先，梭子魚采用了專業的應用防火墻，為納斯達克的Web服務器和Web應用提供全面的保護。和傳統防火墻不同，梭子魚應用防火墻既可防范已知的對Web應用系統及基礎設施漏洞的攻擊，也能抵御住惡意攻擊或是目標攻擊。通過梭子魚應用防火墻的專利技術，納斯達克的網站還能對HTTP請求進行終止、防護和加速的操作。

此外，梭子魚產品的動態學習功能，可以自主的與納斯達克網站的Web服務器互相通信，實時地自動學習和策略建模。由于梭子魚應用防火墻具備實時策略向導功能，能夠協助管理員自定義策略，同時讓管理員對當前的策略擁有完全的掌控權，所以所有違背ACL的行為都可以被納斯達克的網絡管理人員捕捉到。

由于通過使用緩存、壓縮、TCP連接復用、負載均衡等各種技術對后臺Web服務器進行了流量的優化，所以部署在納斯達克的Web服務器前端的梭子魚應用防火墻對用戶的體驗沒有造成任何影響，就像是個“透明”的安全衛士。在管理過程中，增減設備對網絡幾乎完全沒有影響。這為納斯達克在將來對網站的擴容帶來了極大的益處。