WEB應用的發展，使網站產生越來越重要的作用，而越來越多的網站在此過程中也因為存在安全隱患而遭受到各種攻擊，例如網頁被掛馬、網站SQL注入，導致網頁被篡改、網站被查封，甚至被利用成為傳播木馬給瀏覽網站用戶的一個載體。在那些黑客的眼里，網站并非是一個提供互聯網服務和信息交流的平臺，反而成為可以被低成本利用獲取價值的一個途徑。

 

　　我們看看當前網站安全狀況，數字的增長速度令人震驚。具不完全統計，這幾年中國大陸網站入侵導致網頁被篡改成倍增長；2007年僅網頁篡改已經是2004年的30倍，達到61228，這還不包含未被官方披露的數字。

 

 

　　還有很多網站被黑客所利用，進行網頁掛馬，導致瀏覽這些網頁的人自動被種植木馬。可以說經常上網人幾乎都遭遇過網頁木馬，輕則使系統異常、成為黑客們的傀儡終端，重責導致個人敏感數據被盜。以下只是曾經被媒體披露過的一部分事件。

 

　　2006年，河南省政府網主頁篡改；2006年，數字安徽網、中國銀聯、必勝客&肯德基網頁掛馬；2006年，河南省人事廳黑客入侵；2007年，成都市檔案局網站主頁篡改；2007年3月30日，東方衛士網站網頁掛馬；2007年8月11日，海爾官方網站網頁掛馬；2007年10月25日，木螞蟻綠色軟件園網頁掛馬2007年12月22日，千千靜聽官方網站網頁掛馬；2008年1月11日，綠色軟件網網頁掛馬；2008年4月16日，酷狗網網頁掛馬；2008年4月19日，紅心中國我賽網主頁篡改。

 

　　一、網站安全問題的原因何在

 

　　安全問題幾乎成為網站不能承受之重，追溯起來誘因很多。

 

　　1. 大多數網站設計，只考慮正常用戶穩定使用

 

　　一個網站設計者更多地考慮滿足用戶應用，如何實現業務。很少考慮網站應用開發過程中所存在的漏洞，這些漏洞在不關注安全代碼設計的人員眼里幾乎不可見，大多數網站設計開發者、網站維護人員對網站攻防技術的了解甚少；在正常使用過程中，即便存在安全漏洞，正常的使用者并不會察覺。但在黑客對漏洞敏銳的發覺和充分利用的動力下，網站存在的這些漏洞就被挖掘出來，且成為黑客們直接或間接獲取利益的機會。對于Web應用程序的SQL注入漏洞，有試驗表明，通過搜尋1000個網站取樣測試，檢測到有11.3%存在SQL注入漏洞。

 

　　2. 網站防御措施過于落后，甚至沒有真正的防御

 

　　大多數防御傳統的基于特征識別的入侵防御技術或內容過濾技術，對保護網站抵御黑客攻擊的效果不佳。比如對SQL注入、跨站腳本這種特征不唯一的網站攻擊，基于特征匹配技術防御攻擊，不能精確阻斷攻擊。因為黑客們可以通過構建任意表達式來繞過防御設備固化的特征庫，比如：and 1=1 和 and 2=2是一類數據庫語句，但可以人為任意構造數字構成同類語句的不同特征。而and、=等這些標識在WEB提交數據庫應用中又是普遍存在的表達符號，不能作為攻擊的唯一特征。因此，這就很難基于特征標識來構建一個精確阻斷SQL注入攻擊的防御系統。導致目前有很多黑客將SQL注入成為入侵網站的首選攻擊技術之一。基于應用層構建的攻擊，防火墻更是束手無策。

 

　　網站防御不佳還有另一個原因，有很多網站管理員對網站的價值認識僅僅是一臺服務器或者是網站的建設成本，為了這個服務器而增加超出其成本的安全防護措施認為得不償失。而實際網站遭受攻擊之后，帶來的間接損失往往不能用一個服務器或者是網站建設成本來衡量，很多信息資產在遭受攻擊之后造成無形價值的流失。不幸的是，很多網站負責的單位、人員，只有在網站遭受攻擊后，造成的損失遠超過網站本身造價之后才意識就這一點。

 

　　3. 黑客入侵后，未被及時發現

 

　　有些黑客通過篡改網頁來傳播一些非法信息或炫耀自己的水平，但篡改網頁之前，黑客肯定基于對漏洞的利用，獲得了網站控制權限。這不是最可怕的，因為黑客在獲取權限后沒有想要隱蔽自己，反而是通過篡改網頁暴露自己，這雖然對網站造成很多負面影響，但黑客本身未獲得直接利益。更可怕的是，黑客在獲取網站的控制權限之后，并不暴露自己，而是利用所控制網站產生直接利益；網頁掛馬就是一種利用網站，將瀏覽網站的人種植其木馬的一種非常隱蔽且直接獲取利益的主要方式之一。訪問網站而被種植木馬的人通常也不知情，導致一些用戶的機密信被竊取。網站成了黑客散布木馬的一個渠道。網站本身雖然能夠提供正常服務，但訪問網站的人卻遭受著木馬程序的危害。