網站安全堪憂，掛馬、SQL注入，解決之道何在？

 WEB應用的發展，使網站產生越來越重要的作用，而越來越多的網站在此過程中也因為存在安全隱患而遭受到各種攻擊，例如網頁被掛馬、網站SQL注入，導致網頁被篡改、網站被查封，甚至被利用成為傳播木馬給瀏覽網站用戶的一個載體。在那些黑客的眼里，網站并非是一個提供互聯網服務和信息交流的平臺，反而成為可以被低成本利用獲取價值的一個途徑。

        我們看看當前網站安全狀況，數字的增長速度令人震驚。具不完全統計，這幾年中國大陸網站入侵導致網頁被篡改成倍增長；2007年僅網頁篡改已經是2004年的30倍，達到61228，這還不包含未被官方披露的數字。
 

        還有很多網站被黑客所利用，進行網頁掛馬，導致瀏覽這些網頁的人自動被種植木馬?？梢哉f經常上網人幾乎都遭遇過網頁木馬，輕則使系統異常、成為黑客們的傀儡終端，重責導致個人敏感數據被盜。以下只是曾經被媒體披露過的一部分事件。

        2006年，河南省政府網主頁篡改；2006年，數字安徽網、中國銀聯、必勝客&肯德基網頁掛馬；2006年，河南省人事廳黑客入侵；2007年，成都市檔案局網站主頁篡改；2007年3月30日，東方衛士網站網頁掛馬；2007年8月11日，海爾官方網站網頁掛馬；2007年10月25日，木螞蟻綠色軟件園網頁掛馬2007年12月22日，千千靜聽官方網站網頁掛馬；2008年1月11日，綠色軟件網網頁掛馬；2008年4月16日，酷狗網網頁掛馬；2008年4月19日，紅心中國我賽網主頁篡改。

一、網站安全問題的原因何在

        安全問題幾乎成為網站不能承受之重，追溯起來誘因很多。

1. 大多數網站設計，只考慮正常用戶穩定使用

        一個網站設計者更多地考慮滿足用戶應用，如何實現業務。很少考慮網站應用開發過程中所存在的漏洞，這些漏洞在不關注安全代碼設計的人員眼里幾乎不可見，大多數網站設計開發者、網站維護人員對網站攻防技術的了解甚少；在正常使用過程中，即便存在安全漏洞，正常的使用者并不會察覺。但在黑客對漏洞敏銳的發覺和充分利用的動力下，網站存在的這些漏洞就被挖掘出來，且成為黑客們直接或間接獲取利益的機會。對于Web應用程序的SQL注入漏洞，有試驗表明，通過搜尋1000個網站取樣測試，檢測到有11.3%存在SQL注入漏洞。

2. 網站防御措施過于落后，甚至沒有真正的防御

        大多數防御傳統的基于特征識別的入侵防御技術或內容過濾技術，對保護網站抵御黑客攻擊的效果不佳。比如對SQL注入、跨站腳本這種特征不唯一的網站攻擊，基于特征匹配技術防御攻擊，不能精確阻斷攻擊。因為黑客們可以通過構建任意表達式來繞過防御設備固化的特征庫，比如：and 1=1 和 and 2=2是一類數據庫語句，但可以人為任意構造數字構成同類語句的不同特征。而and、=等這些標識在WEB提交數據庫應用中又是普遍存在的表達符號，不能作為攻擊的唯一特征。因此，這就很難基于特征標識來構建一個精確阻斷SQL注入攻擊的防御系統。導致目前有很多黑客將SQL注入成為入侵網站的首選攻擊技術之一?；趹脤訕嫿ǖ墓?，防火墻更是束手無策。

       

原文轉自：http://www.anti-gravitydesign.com