惡意軟件猖獗 Web開發(fā)者難辭其咎

數(shù)據(jù)來(lái)自于IBM最新發(fā)布的X-Force 2009年年中趨勢(shì)和風(fēng)險(xiǎn)評(píng)估報(bào)告，報(bào)告發(fā)現(xiàn)惡意軟件編寫者正在使用越來(lái)越復(fù)雜的手段試圖感染用戶，包括入侵合法網(wǎng)站以及在博客和社交網(wǎng)絡(luò)的網(wǎng)頁(yè)中張貼惡意鏈接。

在網(wǎng)絡(luò)應(yīng)用方面，黑客們正熱衷于使用SQL注入和跨站點(diǎn)腳本等攻擊技術(shù)將盜取數(shù)據(jù)的木馬程序植入合法網(wǎng)站，感染網(wǎng)站的正常訪問者。關(guān)于SQL注入和跨站腳本攻擊的防御請(qǐng)參考51CTO.com提供的技術(shù)文章《如何防止SQL注入方式入侵》和《如何應(yīng)對(duì)跨站腳本攻擊》

從2008年第四季度到2009年第一季度期間，SQL攻擊的數(shù)量增加了50%，而隨后從2009年第一季度到第二季度期間，這個(gè)數(shù)字幾乎翻了一倍。據(jù)報(bào)道，就在幾天前，一項(xiàng)新的SQL攻擊侵入了超過5萬(wàn)個(gè)站點(diǎn)。根據(jù)51CTO.com今年9月第二周的安全周報(bào)顯示，跨站腳本已取代SQL注入，成Web漏洞王。

IBM互聯(lián)網(wǎng)安全系統(tǒng)部高級(jí)安全顧問Craig Lawson認(rèn)為，網(wǎng)絡(luò)應(yīng)用的開發(fā)者應(yīng)該為惡意軟件猖獗的現(xiàn)狀負(fù)責(zé)，他們不應(yīng)該讓自己編寫的代碼這么容易受到破壞，而操作系統(tǒng)或網(wǎng)絡(luò)服務(wù)器的供應(yīng)商并不該替他們受到譴責(zé)。

“網(wǎng)絡(luò)應(yīng)用開發(fā)者在發(fā)布他們的作品之前并沒有充分的檢查代碼，”他說，“全世界的C程序員都在操作系統(tǒng)上編碼，微軟能做到在30天內(nèi)發(fā)布補(bǔ)丁已經(jīng)是了不起的事情，他們幾乎是在讓一艘戰(zhàn)艦掉頭。”

“但在另一邊，有很多網(wǎng)站開發(fā)者使用花哨的Flash等開發(fā)工具隨意寫出HTML代碼，然后走人。”

Lawson說許多網(wǎng)絡(luò)應(yīng)用軟件的開發(fā)商提供的補(bǔ)丁已經(jīng)晚了12個(gè)月。

“網(wǎng)絡(luò)應(yīng)用的漏洞本應(yīng)是最容易解決的，”他說，“你所要做的無(wú)非就是升級(jí)和刷新一下代碼。因此無(wú)論如何，比起其他人，網(wǎng)絡(luò)開發(fā)者幾乎沒有借口讓自己懶惰。”

根據(jù)IBM的報(bào)告，新漏洞的增長(zhǎng)速度似乎有所減慢。

IBM X-Force的高級(jí)技術(shù)專家James Rendell說，與2008年上半年相比，新發(fā)現(xiàn)漏洞的實(shí)際數(shù)量下降了8%，但這其中有差不多一半的漏洞供應(yīng)商仍未提供補(bǔ)丁。

“從這些未打補(bǔ)丁的漏洞中可以看出，網(wǎng)絡(luò)應(yīng)用框架供應(yīng)商的問題表現(xiàn)的最明顯，”他補(bǔ)充說，“從整體上來(lái)看，蘋果公司做的最好，雖然這并不能反映軟件的質(zhì)量，但至少說明這家公司在發(fā)布補(bǔ)丁和修補(bǔ)漏洞方面是非常努力的。”
如果有需要服務(wù)器的租用與托管的敬請(qǐng)聯(lián)系QQ：１５０１２８１７５８（億恩星辰）　　　聯(lián)系電話：０３７１—６３３２２２２０

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]