WEB應(yīng)用的發(fā)展，使網(wǎng)站產(chǎn)生越來越重要的作用，而越來越多的網(wǎng)站在此過程中也因為存在安全隱患而遭受到各種攻擊，例如網(wǎng)頁被掛馬、網(wǎng)站SQL注入，導(dǎo)致網(wǎng)頁被篡改、網(wǎng)站被查封，甚至被利用成為傳播木馬給瀏覽網(wǎng)站用戶的一個載體。在那些黑客的眼里，網(wǎng)站并非是一個提供互聯(lián)網(wǎng)服務(wù)和信息交流的平臺，反而成為可以被低成本利用獲取價值的一個途徑。

 

　　我們看看當(dāng)前網(wǎng)站安全狀況，數(shù)字的增長速度令人震驚。具不完全統(tǒng)計，這幾年中國大陸網(wǎng)站入侵導(dǎo)致網(wǎng)頁被篡改成倍增長；2007年僅網(wǎng)頁篡改已經(jīng)是2004年的30倍，達到61228，這還不包含未被官方披露的數(shù)字。

 

 

　　還有很多網(wǎng)站被黑客所利用，進行網(wǎng)頁掛馬，導(dǎo)致瀏覽這些網(wǎng)頁的人自動被種植木馬。可以說經(jīng)常上網(wǎng)人幾乎都遭遇過網(wǎng)頁木馬，輕則使系統(tǒng)異常、成為黑客們的傀儡終端，重責(zé)導(dǎo)致個人敏感數(shù)據(jù)被盜。以下只是曾經(jīng)被媒體披露過的一部分事件。

 

　　2006年，河南省政府網(wǎng)主頁篡改；2006年，數(shù)字安徽網(wǎng)、中國銀聯(lián)、必勝客&肯德基網(wǎng)頁掛馬；2006年，河南省人事廳黑客入侵；2007年，成都市檔案局網(wǎng)站主頁篡改；2007年3月30日，東方衛(wèi)士網(wǎng)站網(wǎng)頁掛馬；2007年8月11日，海爾官方網(wǎng)站網(wǎng)頁掛馬；2007年10月25日，木螞蟻綠色軟件園網(wǎng)頁掛馬2007年12月22日，千千靜聽官方網(wǎng)站網(wǎng)頁掛馬；2008年1月11日，綠色軟件網(wǎng)網(wǎng)頁掛馬；2008年4月16日，酷狗網(wǎng)網(wǎng)頁掛馬；2008年4月19日，紅心中國我賽網(wǎng)主頁篡改。

 

　　一、網(wǎng)站安全問題的原因何在

 

　　安全問題幾乎成為網(wǎng)站不能承受之重，追溯起來誘因很多。

 

　　1. 大多數(shù)網(wǎng)站設(shè)計，只考慮正常用戶穩(wěn)定使用

 

　　一個網(wǎng)站設(shè)計者更多地考慮滿足用戶應(yīng)用，如何實現(xiàn)業(yè)務(wù)。很少考慮網(wǎng)站應(yīng)用開發(fā)過程中所存在的漏洞，這些漏洞在不關(guān)注安全代碼設(shè)計的人員眼里幾乎不可見，大多數(shù)網(wǎng)站設(shè)計開發(fā)者、網(wǎng)站維護人員對網(wǎng)站攻防技術(shù)的了解甚少；在正常使用過程中，即便存在安全漏洞，正常的使用者并不會察覺。但在黑客對漏洞敏銳的發(fā)覺和充分利用的動力下，網(wǎng)站存在的這些漏洞就被挖掘出來，且成為黑客們直接或間接獲取利益的機會。對于Web應(yīng)用程序的SQL注入漏洞，有試驗表明，通過搜尋1000個網(wǎng)站取樣測試，檢測到有11.3%存在SQL注入漏洞。

 

　　2. 網(wǎng)站防御措施過于落后，甚至沒有真正的防御

 

　　大多數(shù)防御傳統(tǒng)的基于特征識別的入侵防御技術(shù)或內(nèi)容過濾技術(shù)，對保護網(wǎng)站抵御黑客攻擊的效果不佳。比如對SQL注入、跨站腳本這種特征不唯一的網(wǎng)站攻擊，基于特征匹配技術(shù)防御攻擊，不能精確阻斷攻擊。因為黑客們可以通過構(gòu)建任意表達式來繞過防御設(shè)備固化的特征庫，比如：and 1=1 和 and 2=2是一類數(shù)據(jù)庫語句，但可以人為任意構(gòu)造數(shù)字構(gòu)成同類語句的不同特征。而and、=等這些標(biāo)識在WEB提交數(shù)據(jù)庫應(yīng)用中又是普遍存在的表達符號，不能作為攻擊的唯一特征。因此，這就很難基于特征標(biāo)識來構(gòu)建一個精確阻斷SQL注入攻擊的防御系統(tǒng)。導(dǎo)致目前有很多黑客將SQL注入成為入侵網(wǎng)站的首選攻擊技術(shù)之一。基于應(yīng)用層構(gòu)建的攻擊，防火墻更是束手無策。

 

　　網(wǎng)站防御不佳還有另一個原因，有很多網(wǎng)站管理員對網(wǎng)站的價值認(rèn)識僅僅是一臺服務(wù)器或者是網(wǎng)站的建設(shè)成本，為了這個服務(wù)器而增加超出其成本的安全防護措施認(rèn)為得不償失。而實際網(wǎng)站遭受攻擊之后，帶來的間接損失往往不能用一個服務(wù)器或者是網(wǎng)站建設(shè)成本來衡量，很多信息資產(chǎn)在遭受攻擊之后造成無形價值的流失。不幸的是，很多網(wǎng)站負(fù)責(zé)的單位、人員，只有在網(wǎng)站遭受攻擊后，造成的損失遠(yuǎn)超過網(wǎng)站本身造價之后才意識就這一點。

 

　　3. 黑客入侵后，未被及時發(fā)現(xiàn)

 

　　有些黑客通過篡改網(wǎng)頁來傳播一些非法信息或炫耀自己的水平，但篡改網(wǎng)頁之前，黑客肯定基于對漏洞的利用，獲得了網(wǎng)站控制權(quán)限。這不是最可怕的，因為黑客在獲取權(quán)限后沒有想要隱蔽自己，反而是通過篡改網(wǎng)頁暴露自己，這雖然對網(wǎng)站造成很多負(fù)面影響，但黑客本身未獲得直接利益。更可怕的是，黑客在獲取網(wǎng)站的控制權(quán)限之后，并不暴露自己，而是利用所控制網(wǎng)站產(chǎn)生直接利益；網(wǎng)頁掛馬就是一種利用網(wǎng)站，將瀏覽網(wǎng)站的人種植其木馬的一種非常隱蔽且直接獲取利益的主要方式之一。訪問網(wǎng)站而被種植木馬的人通常也不知情，導(dǎo)致一些用戶的機密信被竊取。網(wǎng)站成了黑客散布木馬的一個渠道。網(wǎng)站本身雖然能夠提供正常服務(wù)，但訪問網(wǎng)站的人卻遭受著木馬程序的危害。