难以被察觉的网站风险

龙源期刊网 https://www.360docs.net/doc/789491096.html,

难以被察觉的网站风险

作者：万卿

来源：《中国计算机报》2008年第32期

一个网站设计者往往更多地考虑满足用户应用，如何实现业务，很少考虑网站应用开发过程中所存在的漏洞。这些漏洞在不关注安全代码设计的人员眼里几乎不可见。大多数网站设计开发者、网站维护人员对网站攻防技术了解甚少，在正常使用过程中，即便存在安全漏洞，正常的使用者也不会察觉。

但在黑客的目光下，网站存在的漏洞被挖掘出来，且成为黑客直接或间接获取利益的机会：通过搜寻1000个网站取样测试，检测到有11.3%存在Web应用程序的SQL注入漏洞。

网站防御措施过于落后

大多数防御传统的基于特征识别的入侵防御技术或内容过滤技术，对保护网站抵御黑客攻击的效果不佳。比如对SQL注入、跨站脚本这种特征不惟一的网站攻击，基于特征匹配技术防御攻击不能精确阻断攻击。因为黑客们可以通过构建任意表达式来绕过防御设备固化的特征库，比如：and 1＝1 和 and 2＝2是一类数据库语句，但可以人为任意构造数字构成同类语句的不同特征。

而and、＝等这些标识在Web提交数据库应用中又是普遍存在的表达符号，不能作为攻击的唯一特征。因此，这就很难基于特征标识来构建一个精确阻断SQL注入攻击的防御系统，导致目前有很多黑客将SQL注入成为入侵网站的首选攻击技术之一。对基于应用层构建的攻击，防火墙更是束手无策。

网站防御不佳还有另一个原因，有很多网站管理员对网站的价值认识仅仅是一台服务器或者是网站的建设成本，他们认为为了这个服务器而增加超出其成本的安全防护措施得不偿失。而实际网站遭受攻击之后，带来的间接损失往往不能用一个服务器或者是网站建设成本来衡量，很多信息资产在遭受攻击之后造成无形价值的流失。

有些黑客通过篡改网页来传播一些非法信息或炫耀自己的水平，但篡改网页之前，黑客肯定基于对漏洞的利用，获得了网站控制权限。对网页进行篡改并不是最可怕的，可怕的是，黑客在获取网站的控制权限之后，并不暴露自己，而是利用所控制网站产生直接利益。网页挂马就是一种利用网站，将浏览网站的人种植其木马的一种非常隐蔽且直接获取利益的方式。