专家支招:企业如何发现自身Web安全漏洞

随着中国信息化建设的高速发展,中国已经发展成全球第二大的互联网用户,也带来了互联网网站的高速发展。当前的互联网网站已经成为信息传播、流通、交换及存储的重要手段。政府部门的信息化建设,使得电子政务的加速增长,越来越多的传统办公业务转变成依懒互联网的网站业务。企业的B2B、B2C业务的发展更多地依靠于网站业务的正常运行。各大商业银行为了方便业务的开展,依懒于网站提供更多的在线服务方式。随着网站与网页数的与日俱增,信息安全问题变得更为严峻。由于互联网网站处于全天候的开放状态,而承载网站的应用程序具有自身无法完全克服的漏洞问题,这就为黑客的入侵提供了可乘之机。

互联网网站与网页存在一些安全问题,比如网站服务器易出现的以下问题:

◆网站脚本程序的安全问题检测,如网站的默认数据库,默认管理帐号(admin,root,manager等);

◆网站程序设计存在的安全问题检测,网站程序设计者在编写时,对相关的安全问题没有做适当的处理,如SQL注入,上传漏洞,脚本跨站执行等;

◆服务器配置不当,安全策略设置存在缺陷,可导致产品被入侵的问题检测;

◆应用服务权限设置导致系统被入侵的问题检测;

◆系统和服务的补丁未升级导致系统可被入侵的安全检测等。

利用网站的安全漏洞,尤其是Web应用程序漏洞:如SQL 注入等,黑客能够得到 Web 服务器的控制权限,随意篡改网页内容或窃取重要内部数据,更为严重的则是在网页中植入恶意代码,通过"网页挂马"感染更多的客户端用户。通过这一行为,黑客可以控制网站的访问者甚至包括网站本单位的人员的计算机,从而实现盗取银行帐号、内部机密信息等各种不可告人的目的。由于网页木马制作的简单性和网络漏洞存在的必然性,通过网站漏洞进行网页挂马已经成为当前最流行的网站攻击方法和最受黑客青睐的木马散播方式。2007年微软系统的安全漏洞,以及各种应用软件存在安全漏洞,如MS06014安全漏洞、MS07004安全漏洞、Open9.0-9.2安全漏洞、PPS安全漏洞、Web迅雷安全漏洞、Ani指针安全漏洞、暴风播放器安全漏洞、JetAudio 7.x安全漏洞、百度插件安全漏洞、PPlive安全漏洞、雅虎安全漏洞、MS07055安全漏洞、迅雷5安全漏洞、超星的安全漏洞等安全漏洞问题。各种漏洞生成的相应的漏洞利用网马并进行挂马,使得网页挂马事件得到快速的发展。

网络信息化建设的不断发展、核心应用业务迅速网络化以及互联网用户的飞速增长,我们面临的安全威胁也日益增多和复杂。根据CNCERT的最新统计数据,2007年CNCERT共接到网络安全事件报告4390件。2007年我国大陆被篡改网站总数达到了61228个,同比增长1.5倍;其中政府网站(.gov.cn)被篡改3407个,占大陆被篡改网站的7%。CNCERT统计显示,大陆地区约有4.3万个IP地址主机被植入木马,约有362万个IP地址主机被植入僵尸程序。从以上数据可以看出,提高业务网站的安全防护,是保障业务正常进行的必然前提。

国内被篡改的网站为政府、学校、信息综合门户、知名企业等影响力高、受众面广的网站,而一些中小企业的网站更是易被侵入篡改。网站被篡改带来的不良影响,不仅仅是单位组织的形象和声誉遭到破坏,而且会直接影响以网站运营为主的业务,带来一定的经济上的损失。如何保护网站的安全性,是众多网站管理员及单位组织关注的事情。除了网络管理员提供日常管理维护,还需要专业的安全人员对网站及相关服务器的安全性进行检测。

网站是否存在Web 应用程序漏洞,往往是被入侵后才能察觉;而网站是否已经被挂马,通常是在被访问者投诉或被监管部门查处才能察觉,但这个时候损失已经发生;如何在攻击发动之前主动发现Web应用程序漏洞以及网站在挂马发生之后迅速获悉,已成为构筑Web安全的上上策。目前解决这一问题的通常方式就是网站的运维管理人员购买专业的Web扫描工具,同时学习专业的安全知识,并对网站进行常规扫描、高频度检测,但专业的扫描工具往往不能解决木马问题,并且开销巨大,同时面对Web网站复杂的安全需求,也有自身的一些局限性。那么,能否设计一种具有这种功能的产品或服务,既能够预先扫描Web系统,防患于未然,又能够发现已经存在的网页木马,从而提醒网站管理者进行相应的应急处理呢?