完善检测机制 网站安全唯一出路

    安全在线6月27日报道 WEB应用的发展,使网站产生越来越重要的作用,而越来越多的网站在此过程中也因为存在安全隐患而遭受到各种攻击,例如网页被挂马、网站SQL注入,导致网页被篡改、网站被查封,甚至被利用成为传播木马给浏览网站用户的一个载体。在那些黑客的眼里,网站并非是一个提供互联网服务和信息交流的平台,反而成为可以被低成本利用获取价值的一个途径。

    我们看看当前网站安全状况,数字的增长速度令人震惊。具不完全统计,这几年中国大陆网站入侵导致网页被篡改成倍增长;2007年仅网页篡改已经是2004年的30倍,达到61228,这还不包含未被官方披露的数字。

    还有很多网站被黑客所利用,进行网页挂马,导致浏览这些网页的人自动被种植木马。可以说经常上网人几乎都遭遇过网页木马,轻则使系统异常、成为黑客们的傀儡终端,重责导致个人敏感数据被盗。以下只是曾经被媒体披露过的一部分事件。

    2006年,河南省政府网主页篡改;2006年,数字安徽网、中国银联、必胜客&肯德基网页挂马;2006年,河南省人事厅黑客入侵;2007年,成都市档案局网站主页篡改;2007年3月30日,东方卫士网站网页挂马;2007年8月11日,海尔官方网站网页挂马;2007年10月25日,木蚂蚁绿色软件园网页挂马2007年12月22日,千千静听官方网站网页挂马;2008年1月11日,绿色软件网网页挂马;2008年4月16日,酷狗网网页挂马;2008年4月19日,红心中国我赛网主页篡改。

一、网站安全问题的原因何在

安全问题几乎成为网站不能承受之重,追溯起来诱因很多。

1.大多数网站设计,只考虑正常用户稳定使用

    一个网站设计者更多地考虑满足用户应用,如何实现业务。很少考虑网站应用开发过程中所存在的漏洞,这些漏洞在不关注安全代码设计的人员眼里几乎不可见,大多数网站设计开发者、网站维护人员对网站攻防技术的了解甚少;在正常使用过程中,即便存在安全漏洞,正常的使用者并不会察觉。但在黑客对漏洞敏锐的发觉和充分利用的动力下,网站存在的这些漏洞就被挖掘出来,且成为黑客们直接或间接获取利益的机会。对于Web应用程序的SQL注入漏洞,有试验表明,通过搜寻1000个网站取样测试,检测到有11.3%存在SQL注入漏洞。

2.网站防御措施过于落后,甚至没有真正的防御

    大多数防御传统的基于特征识别的入侵防御技术或内容过滤技术,对保护网站抵御黑客攻击的效果不佳。比如对SQL注入、跨站脚本这种特征不唯一的网站攻击,基于特征匹配技术防御攻击,不能精确阻断攻击。因为黑客们可以通过构建任意表达式来绕过防御设备固化的特征库,比如:and 1=1 和 and 2=2是一类数据库语句,但可以人为任意构造数字构成同类语句的不同特征。而and、=等这些标识在WEB提交数据库应用中又是普遍存在的表达符号,不能作为攻击的唯一特征。因此,这就很难基于特征标识来构建一个精确阻断SQL注入攻击的防御系统。导致目前有很多黑客将SQL注入成为入侵网站的首选攻击技术之一。基于应用层构建的攻击,防火墙更是束手无策。

    网站防御不佳还有另一个原因,有很多网站管理员对网站的价值认识仅仅是一台服务器或者是网站的建设成本,为了这个服务器而增加超出其成本的安全防护措施认为得不偿失。而实际网站遭受攻击之后,带来的间接损失往往不能用一个服务器或者是网站建设成本来衡量,很多信息资产在遭受攻击之后造成无形价值的流失。不幸的是,很多网站负责的单位、人员,只有在网站遭受攻击后,造成的损失远超过网站本身造价之后才意识就这一点。

3.黑客入侵后,未被及时发现

    有些黑客通过篡改网页来传播一些非法信息或炫耀自己的水平,但篡改网页之前,黑客肯定基于对漏洞的利用,获得了网站控制权限。这不是最可怕的,因为黑客在获取权限后没有想要隐蔽自己,反而是通过篡改网页暴露自己,这虽然对网站造成很多负面影响,但黑客本身未获得直接利益。更可怕的是,黑客在获取网站的控制权限之后,并不暴露自己,而是利用所控制网站产生直接利益;网页挂马就是一种利用网站,将浏览网站的人种植其木马的一种非常隐蔽且直接获取利益的主要方式之一。访问网站而被种植木马的人通常也不知情,导致一些用户的机密信被窃取。网站成了黑客散布木马的一个渠道。网站本身虽然能够提供正常服务,但访问网站的人却遭受着木马程序的危害。这种方式下,黑客们通常不会暴露自己,反而会尽量隐蔽,正好比暗箭难防,所以很多网站被挂木马数月仍然未被察觉。由于挂马原理是木马本身并非在网站本地,而是通过网页中加载一个能够让浏览者自动建立另外的下载连接完成木马下载,而这一切动作是可以很隐蔽的完成,各个用户不可见,因此这种情况下网站本地的病毒软件也无法发现这个挂马实体。

4.发现安全问题不能彻底解决

    网站技术发展较快、安全问题日益突出,但由于关注重点不同,绝大多数的网站开发与设计公司,网站安全代码设计方面了解甚少,发现网站安全存在问题和漏洞,其修补方式只能停留在页面修复,很难针对网站具体的漏洞原理对源代码进行改造。这些也是为什么有些网站安装网页放篡改、网站恢复软件后仍然遭受攻击。我们在一次网站安全检查过程中,曾经戏剧化的发现,网站的网页放篡改系统将早期植入的恶意代码也保护了起来。这说明很少有人能够准确的了解网站安全漏洞解决的问题是否彻底。

二、网站安全问题的解决之道

    目前网站安全状况令人堪忧,在如此多的问题之下,很多网站都处于安全风险很高的境界。由于网站的开放网络访问环境、各种各样的黑客工具,使黑客们获取利益效率快速提升,致使越来越多的网站正在遭受着这些攻击或面临着这些威胁。当前的网站安全状况,可以用下图做一个总结。

    黑客们利用最常用的攻击方式入侵网站,获取到网站相关数据的读写权限,并根据自己的获取利益的目标层层递进,开始作案、直至获取利益。SQL注入攻击、网页挂马等都是当今最常见用的网站攻击。而就在黑客入侵这一时刻,对网站还没有造成敏感的经济损失,很多网站用户、网站的管理员在此期间并未察觉。直至网站造成明显伤害、黑客获取了利益之后才被网站用户或管理员发现,这时网站管理员才去找问题或解决问题,但已经造成损失,甚至还不易弥补。

在这种状态下可以看见网站安全的三个方面不足:

1.网站安全防护不足,目前的网站防护针对SQL注入、网页挂马防护措施相对薄弱,甚至可以说基本没有防护。

2.缺乏网站安全检测,目前的检测往往是发现造成伤害之后才有所察觉。绝大多数用户没有实时的对网站安全状态进行检测。网站有新漏洞、网页被挂马等状况,用户并不能及时察觉。而一些对安全问题敏感的网站,设有专门负责网站安全的开发维护人员,负责安全开发验证、安全运营实时监控,甚至灾难备份机制;但这种成本和代价太高,因此大多数网站无法效仿。

3.网站安全响应滞后,由于缺乏网站安全检测,用户的响应往往在造成损失之后,发现事故才能去响应;这种响应并无法有效阻止黑客获取利益,降低损失。

可见,如果要强化网站安全,也必须从这些几个视角入手解决才算有效:

1.强化网站安全防护,尤其是针对SQL注入等针对网站入侵防护需要加强。

2.引入网站检测体制,能够定期检查网站存在的安全漏洞,也能在黑客实施网页挂马后及时准确的发现挂马的网页;以保障黑客在获取利益前及时察觉。

3.根据网站的检测,扩展响应的内容,而不仅仅是有事故才响应,有漏洞、有木马也同样做出响应。

幸运的是,近期我们发现已经有不少专业的安全公司在关注网站安全尤其是检测问题,如启明星辰公司已经推出围绕网站安全的产品和服务,包括安星网站安全体检服务,针对网站SQL注入、跨站脚本等入侵防御的天清IPS产品,以及从源代码角度修补网站安全问题的应急服务和白盒测试服务等等。在当今网站安全问题越演越烈的情况下,专业安全厂家推出的一系列的安全措施,正在积极推动网站走向安全运行。