Web應(yīng)用安全日趨嚴(yán)重我們?cè)撃檬裁凑?/H1>

黑客利用網(wǎng)站操作系統(tǒng)的漏洞和Web服務(wù)程序的SQL注入漏洞等得到Web服務(wù)器的控制權(quán)限，輕則篡改網(wǎng)頁(yè)內(nèi)容，重則竊取重要內(nèi)部數(shù)據(jù)，更為嚴(yán)重的則是在網(wǎng)頁(yè)中植入惡意代碼，使得網(wǎng)站訪(fǎng)問(wèn)者受到侵害。這也使得越來(lái)越多的用戶(hù)關(guān)注應(yīng)用層的安全問(wèn)題，對(duì)Web應(yīng)用安全的關(guān)注度也逐漸升溫。

Web安全威脅日趨嚴(yán)重的原因

目前很多業(yè)務(wù)都依賴(lài)于互聯(lián)網(wǎng)，例如說(shuō)網(wǎng)上銀行、網(wǎng)絡(luò)購(gòu)物、網(wǎng)游等，很多惡意攻擊者出于不良的目的對(duì)Web 服務(wù)器進(jìn)行攻擊，想方設(shè)法通過(guò)各種手段獲取他人的個(gè)人賬戶(hù)信息謀取利益。正是因?yàn)檫@樣，Web業(yè)務(wù)平臺(tái)最容易遭受攻擊。同時(shí)，對(duì)Web服務(wù)器的攻擊也可以說(shuō)是形形色色、種類(lèi)繁多，常見(jiàn)的有掛馬、SQL注入、緩沖區(qū)溢出、嗅探、利用IIS等針對(duì)Webserver漏洞進(jìn)行攻擊。

一方面，由于TCP/IP的設(shè)計(jì)是沒(méi)有考慮安全問(wèn)題的，這使得在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)是沒(méi)有任何安全防護(hù)的。攻擊者可以利用系統(tǒng)漏洞造成系統(tǒng)進(jìn)程緩沖區(qū)溢出，攻擊者可能獲得或者提升自己在有漏洞的系統(tǒng)上的用戶(hù)權(quán)限來(lái)運(yùn)行任意程序，甚至安裝和運(yùn)行惡意代碼，竊取機(jī)密數(shù)據(jù)。而應(yīng)用層面的軟件在開(kāi)發(fā)過(guò)程中也沒(méi)有過(guò)多考慮到安全的問(wèn)題，這使得程序本身存在很多漏洞，諸如緩沖區(qū)溢出、SQL注入等等流行的應(yīng)用層攻擊，這些均屬于在軟件研發(fā)過(guò)程中疏忽了對(duì)安全的考慮所致。

另一方面，用戶(hù)對(duì)某些隱秘的東西帶有強(qiáng)烈的好奇心，一些利用木馬或病毒程序進(jìn)行攻擊的攻擊者，往往就利用了用戶(hù)的這種好奇心理，將木馬或病毒程序捆綁在一些艷麗的圖片、音視頻及免費(fèi)軟件等文件中，然后把這些文件置于某些網(wǎng)站當(dāng)中，再引誘用戶(hù)去單擊或下載運(yùn)行�；蛘咄ㄟ^(guò)電子郵件附件和QQ、MSN等即時(shí)聊天軟件，將這些捆綁了木馬或病毒的文件發(fā)送給用戶(hù)，利用用戶(hù)的好奇心理引誘用戶(hù)打開(kāi)或運(yùn)行這些文件。

黑客們另一種常用的方式，即把木馬或病毒編寫(xiě)成一個(gè)腳本，然后嵌入到網(wǎng)頁(yè)、電子郵件及QQ等聊天軟件的消息當(dāng)中，或作一個(gè)超級(jí)連接指向這個(gè)腳本，只要用戶(hù)打開(kāi)包含有嵌入這些木馬或病毒的網(wǎng)頁(yè)、電子郵件和聊天信息窗口，或單擊指向這些木馬及病毒腳本的超級(jí)連接，這些木馬或病毒程序就這樣輕松地進(jìn)入了用戶(hù)的PC當(dāng)中。

網(wǎng)絡(luò)釣魚(yú)攻擊的方式也是多種多樣，其中之一便是偽造一個(gè)十分相似的網(wǎng)站界面，引誘用戶(hù)在這個(gè)假冒的網(wǎng)上銀行網(wǎng)站進(jìn)行登錄操作，有些用戶(hù)輕易相信引誘信息，再加上粗心大意，其后果就不堪設(shè)想了。

現(xiàn)今企業(yè)當(dāng)中，移動(dòng)辦公的趨勢(shì)越來(lái)越明顯，大部分的企業(yè)員工會(huì)把計(jì)算機(jī)帶回家中工作，或者在公共場(chǎng)所接入互聯(lián)網(wǎng)，他們成為當(dāng)前Web威脅首先侵入的目標(biāo)。而企業(yè)員工對(duì)互聯(lián)網(wǎng)依賴(lài)性的加劇，也使得公司網(wǎng)絡(luò)比以往更加容易受到將員工做為跳板的惡意程序的攻擊。惡意程序的主要入侵途徑已經(jīng)轉(zhuǎn)變?yōu)镠TTP方式，而且病毒產(chǎn)生速度快、變種多，令本來(lái)就脆弱的企業(yè)網(wǎng)絡(luò)雪上加霜。

面對(duì)來(lái)勢(shì)洶洶的應(yīng)用威脅，絕大多數(shù)企業(yè)并沒(méi)有真正意識(shí)到其中的危機(jī)。一方面，惡意網(wǎng)站以600%的年增長(zhǎng)速度在迅速增加;另一方面，77%帶有惡意代碼的網(wǎng)站是被植入惡意攻擊代碼的合法網(wǎng)站。這些威脅正往定向、復(fù)合式攻擊發(fā)展，其中一種攻擊會(huì)包括多種威脅，比如病毒、蠕蟲(chóng)、特洛伊、間諜軟件、僵尸、網(wǎng)絡(luò)釣魚(yú)電子郵件、漏洞利用、下載程序、社會(huì)工程、rootkit、黑客等，造成拒絕服務(wù)、服務(wù)劫持、信息泄露或篡改等危害。另外，復(fù)合攻擊也加大了收集所有“樣本”的難度，造成的損害也是多方面的，潛伏期難以預(yù)測(cè)，甚至可以遠(yuǎn)程可控地發(fā)作。

我們又該如何應(yīng)對(duì)Web威脅

隨著多形態(tài)攻擊的數(shù)量越來(lái)越多，傳統(tǒng)防護(hù)手段的安全效果也越來(lái)越差，總是處于預(yù)防威脅-檢測(cè)威脅-處理威脅-策略執(zhí)行的循環(huán)之中。更為嚴(yán)峻的是，傳統(tǒng)的僅針對(duì)終端設(shè)備的防病毒解決方案并不能應(yīng)對(duì)當(dāng)前變化多端的Web威脅。

作為個(gè)人用戶(hù)來(lái)說(shuō)，應(yīng)該本身對(duì)網(wǎng)絡(luò)安全防范的加深和正確認(rèn)識(shí)，不斷提高自身的計(jì)算機(jī)及網(wǎng)絡(luò)應(yīng)用技術(shù)水平加固計(jì)算機(jī)的安全，以及努力克服自己的好奇心，消除貪圖小便宜的心理，規(guī)范自己的網(wǎng)絡(luò)操作行為，來(lái)緩解決Web應(yīng)用安全問(wèn)題日趨嚴(yán)重的趨勢(shì)。

對(duì)于企業(yè)用戶(hù)，針對(duì)Web應(yīng)用的安全產(chǎn)品，可以分為網(wǎng)絡(luò)、Web服務(wù)器自身以及程序安全三方面。在網(wǎng)絡(luò)方面，可以考慮將防火墻、IDS/IPS、安全網(wǎng)關(guān)、防病毒墻等產(chǎn)品部署在Web服務(wù)器前面，這樣可以防御大部分的攻擊。此外，可以通過(guò)部署更安全的Web服務(wù)器、Web服務(wù)器自身的保護(hù)系統(tǒng)，比如網(wǎng)頁(yè)防篡改保護(hù)系統(tǒng)(防篡改保護(hù)和恢復(fù)軟件)、惡意主動(dòng)防御系統(tǒng)、訪(fǎng)問(wèn)控制系統(tǒng)、審計(jì)系統(tǒng)等產(chǎn)品，做到自動(dòng)掃描和監(jiān)控，從而保護(hù)系統(tǒng)和文件。目前已經(jīng)出現(xiàn)了程序安全的研究方向，我們也希望能夠早日看到相關(guān)產(chǎn)品。

最后我們要做到“兩手抓、兩手都要硬”，用一句形象的比喻來(lái)說(shuō)明：防火墻/入侵檢測(cè)系統(tǒng)如同金鐘罩鐵布衫等外功，防止明槍;而更重要的是需要修煉太極等內(nèi)功，彌補(bǔ)自身的漏洞，躲避暗箭，內(nèi)外兼修的效果將使您的企業(yè)縱橫江湖。

Web安全威脅的內(nèi)容還有很多，希望大家還要多多掌握。
如果有需要服務(wù)器的租用與托管的敬請(qǐng)聯(lián)系QQ：１５０１２８１７５８（億恩星辰）　　　聯(lián)系電話(huà)：０３７１—６３３２２２２０

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]