WEB應用的發展,使網站產生越來越重要的作用,而越來越多的網站在此過程中也因爲存在安全隱患而遭受到各種***,例如網頁被掛馬、網站SQL注入,導致網頁被篡改、網站被查封,甚至被利用成爲傳播***給瀏覽網站用戶的一個載體。在那些***的眼裏,網站並非是一個提供互聯網服務和信息交流的平臺,反而成爲可以被低成本利用獲取價值的一個途徑。
在51CTO舉辦的【拯救網站運維經理】行動中,運維經理趙明就遇到了上述的尷尬,最後雖然趙明承諾給運營總監第二天提交網站安全整改方案,但我們都清楚的知道,一個網站的安全防護不僅僅是亡羊補牢,不漏查缺,我們能夠給出的建議和意見也非常有限,只有集合衆人的智慧才能徹底解決趙明所在網絡的安全問題。而本文中,筆者只想借這個機會,幫助趙明找到網站安全問題的一部分問題根源,希望對趙明有用。
就如趙明所在網站一樣,目前還有很多網站被***所利用,進行網頁掛馬,導致瀏覽這些網頁的人自動被種植***。可以說經常上網人幾乎都遭遇過網頁***,輕則使系統異常、成爲***們的傀儡終端,重責導致個人敏感數據被盜。以下只是曾經被媒體披露過的一部分事件:
2006年,河南省政府網主頁篡改;2006年,數字安徽網、中國銀聯、必勝客&肯德基網頁掛馬;2006年,河南省人事廳******;2007年,成都市檔案局網站主頁篡改;2007年3月30日,東方衛士網站網頁掛馬;2007年8月11日,海爾官方網站網頁掛馬;2007年10月25日,木螞蟻綠色軟件園網頁掛馬2007年12月22日,千千靜聽官方網站網頁掛馬;2008年1月11日,綠色軟件網網頁掛馬;2008年4月16日,酷狗網網頁掛馬;2008年4月19日,紅心中國我賽網主頁篡改。
一、網站安全問題的原因何在
安全問題幾乎成爲網站不能承受之重,追溯起來誘因很多。
1.大多數網站設計,只考慮正常用戶穩定使用
一個網站設計者更多地考慮滿足用戶應用,如何實現業務。很少考慮網站應用開發過程中所存在的漏洞,這些漏洞在不關注安全代碼設計的人員眼裏幾乎不可見,大多數網站設計開發者、網站維護人員對網站***技術的瞭解甚少;在正常使用過程中,即便存在安全漏洞,正常的使用者並不會察覺。但在***對漏洞敏銳的發覺和充分利用的動力下,網站存在的這些漏洞就被挖掘出來,且成爲***們直接或間接獲取利益的機會。對於Web應用程序的SQL注入漏洞,有試驗表明,通過搜尋1000個網站取樣測試,檢測到有11.3%存在SQL注入漏洞。筆者可以毫不客氣的下個定論,趙明所在的網絡就存在這種問題。
2.網站防禦措施過於落後,甚至沒有真正的防禦
另外,大多數防禦傳統的基於特徵識別的***防禦技術或內容過濾技術,對保護網站抵禦******的效果不佳。比如對SQL注入、跨站腳本這種特徵不唯一的網站***,基於特徵匹配技術防禦***,不能精確阻斷***。因爲***們可以通過構建任意表達式來繞過防禦設備固化的特徵庫,比如:and 1=1 和 and 2=2是一類數據庫語句,但可以人爲任意構造數字構成同類語句的不同特徵。而and、=等這些標識在WEB提交數據庫應用中又是普遍存在的表達符號,不能作爲***的唯一特徵。因此,這就很難基於特徵標識來構建一個精確阻斷SQL注入***的防禦系統。導致目前有很多***將SQL注入成爲***網站的首選***技術之一。基於應用層構建的***,防火牆更是束手無策。
網站防禦不佳還有另一個原因,有很多網站管理員對網站的價值認識僅僅是一臺服務器或者是網站的建設成本,爲了這個服務器而增加超出其成本的安全防護措施認爲得不償失。而實際網站遭受***之後,帶來的間接損失往往不能用一個服務器或者是網站建設成本來衡量,很多信息資產在遭受***之後造成無形價值的流失。不幸的是,很多網站負責的單位、人員,只有在網站遭受***後,造成的損失遠超過網站本身造價之後才意識就這一點。
3.******後,未被及時發現
有些***通過篡改網頁來傳播一些非法信息或炫耀自己的水平,但篡改網頁之前,***肯定基於對漏洞的利用,獲得了網站控制權限。這不是最可怕的,因爲***在獲取權限後沒有想要隱蔽自己,反而是通過篡改網頁暴露自己,這雖然對網站造成很多負面影響,但***本身未獲得直接利益。更可怕的是,***在獲取網站的控制權限之後,並不暴露自己,而是利用所控制網站產生直接利益;網頁掛馬就是一種利用網站,將瀏覽網站的人種植其***的一種非常隱蔽且直接獲取利益的主要方式之一。訪問網站而被種植***的人通常也不知情,導致一些用戶的機密信被竊取。網站成了***散佈***的一個渠道。網站本身雖然能夠提供正常服務,但訪問網站的人卻遭受着***程序的危害。這種方式下,***們通常不會暴露自己,反而會盡量隱蔽,正好比暗箭難防,所以很多網站被掛***數月仍然未被察覺。由於掛馬原理是***本身並非在網站本地,而是通過網頁中加載一個能夠讓瀏覽者自動建立另外的下載連接完成***下載,而這一切動作是可以很隱蔽的完成,各個用戶不可見,因此這種情況下網站本地的病毒軟件也無法發現這個掛馬實體。
4.發現安全問題不能徹底解決
網站技術發展較快、安全問題日益突出,但由於關注重點不同,絕大多數的網站開發與設計公司,網站安全代碼設計方面瞭解甚少,發現網站安全存在問題和漏洞,其修補方式只能停留在頁面修復,很難針對網站具體的漏洞原理對源代碼進行改造。這些也是爲什麼有些網站安裝網頁放篡改、網站恢復軟件後仍然遭受***。我們在一次網站安全檢查過程中,曾經戲劇化的發現,網站的網頁放篡改系統將早期植入的惡意代碼也保護了起來。這說明很少有人能夠準確的瞭解網站安全漏洞解決的問題是否徹底。
二、網站安全問題的解決之道
目前網站安全狀況令人堪憂,在如此多的問題之下,很多網站都處於安全風險很高的境界。由於網站的開放網絡訪問環境、各種各樣的***工具,使***們獲取利益效率快速提升,致使越來越多的網站正在遭受着這些***或面臨着這些威脅。當前的網站安全狀況,可以用下圖做一個總結。
***們利用最常用的***方式***網站,獲取到網站相關數據的讀寫權限,並根據自己的獲取利益的目標層層遞進,開始作案、直至獲取利益。SQL注入***、網頁掛馬等都是當今最常見用的網站***。而就在******這一時刻,對網站還沒有造成敏感的經濟損失,很多網站用戶、網站的管理員在此期間並未察覺。直至網站造成明顯傷害、***獲取了利益之後才被網站用戶或管理員發現,這時網站管理員纔去找問題或解決問題,但已經造成損失,甚至還不易彌補。
在這種狀態下可以看見網站安全的三個方面不足:
1.網站安全防護不足,目前的網站防護針對SQL注入、網頁掛馬防護措施相對薄弱,甚至可以說基本沒有防護。
2.缺乏網站安全檢測,目前的檢測往往是發現造成傷害之後纔有所察覺。絕大多數用戶沒有實時的對網站安全狀態進行檢測。網站有新漏洞、網頁被掛馬等狀況,用戶並不能及時察覺。而一些對安全問題敏感的網站,設有專門負責網站安全的開發維護人員,負責安全開發驗證、安全運營實時監控,甚至災難備份機制;但這種成本和代價太高,因此大多數網站無法效仿。
3.網站安全響應滯後,由於缺乏網站安全檢測,用戶的響應往往在造成損失之後,發現事故才能去響應;這種響應並無法有效阻止***獲取利益,降低損失。
可見,如果要強化網站安全,也必須從這些幾個視角入手解決纔算有效:
1.強化網站安全防護,尤其是針對SQL注入等針對網站***防護需要加強。
2.引入網站檢測體制,能夠定期檢查網站存在的安全漏洞,也能在***實施網頁掛馬後及時準確的發現掛馬的網頁;以保障***在獲取利益前及時察覺。
3.根據網站的檢測,擴展響應的內容,而不僅僅是有事故才響應,有漏洞、有***也同樣做出響應。