今基于互联网的应用是越来越多–Web应用用于支持用户和合作伙伴进行各种交易、数据交换,包括库存管理、客户关系管理(CRM)。这些应用程序通常与敏感数据资产相关,如信用卡数据、个人信息等。
在"Web化"之前,这些应用程序位于公司网络深处,受到多层安全保护。现在,这些应用被花样翻新成基于Web的应用,以支持更大规模的用户或合作伙伴,也就被迁移至离网络边界更近的位置。
Web应用离网络边界越近,其面对的风险也随之加大。Web安全防范成为很多企业信息安全问题中的首要问题。即便如此,与Web安全相关的大事故时有耳闻,一个很重要的原因就是"0 day "漏洞在作祟。
如此前IE7 0Day爆出的MS08-067,不仅仅在发动攻击式的隐蔽性高,而且攻击的软件扩展范围和攻击的手段也非常多。如果黑客利用MS08-067发动攻击,他们首先需要客服的就是来自电信部门的端口限制,虽然MS08-067的威胁性如同当年蠕虫冲击波利用的RPC漏洞如出一辙,不过由于该漏洞仍然主要依靠篡改网络数据包进行攻击,所以会受限于网络环境,最多只能够在公司和学校的内部小范围的散播,已经无法构成当年冲击波病毒横扫一片的恐怖场面。
但是漏洞的威胁程度也各有不同–目前这个被微软编号为"961051"的IE7 0Day则不同,黑客可以轻易的利用这个漏洞构造出带有攻击性的网页代码,并可以将这个恶意代码植入任意的网页。当然这个网页不仅是正常的网站,还有可能是迅雷、QQ的弹出欢迎菜单;可能是用户的Outlook查收HTML贺卡,也可以是其它调用IE内核的第三方软件,总之所有可能通过IE内核访问网页的软件都可以被插入攻击代码,并让没有修复漏洞的用户中招。
可见,Web安全防范成败的关键要看企业用户是否能够有效防范"0 day"攻击。众多安全厂商可谓是尽其所能拉阻挡"0 day"漏洞威胁。