分类: 网络与安全
2008-05-26 06:37:34
(计算机世界报 2008年05月19日第18期 47) |
目前,针对网站的攻击越来越普遍,许多网站正面临着网页被篡改、网页挂马的安全威胁,这是因为黑客利用了网站的技术漏洞。网站该怎么应对呢?
■ 本报记者 胡镌芮
目前,Web安全与数据库安全研究组织OWASP发布了一份报告,说明针对 Web业务系统威胁最严重的两种攻击方式有两种:SQL注入攻击和跨站脚本攻击。前者的攻击原理是利用程序员在编写代码时没有对用户输入数据的合法性进行判断,导致入侵者可以通过插入并执行恶意SQL命令,获得数据读取和修改的权限。而后者,是通过在网页中加入恶意代码,当访问者浏览网页时,恶意代码会被执行或者通过给管理员发信息的方式诱使管理员浏览,从而获得管理员权限,控制整个网站。
这种攻击有多严重?据知情人士透露,目前国内的许多网站,比如说社保网站,很容易被网上流传的各种SQL注入攻击程序攻击。黑客利用这些工具扫描和攻击网站,几分钟之内就能获得几乎所有用户的登录密码,然后以一个高级用户的身份进入系统,随意修改各种重要的信息,这令用户的密码信息形同虚设!最为可怕的是,很多网站并没有意识到这种攻击的存在,因此,很难发现自己的重要数据已经被修改了。也有一些网站已经认识到这种攻击行为,但采用一些传统的方法,却无法禁止该类攻击。
这两种攻击的特点归纳起来有三点:一是变种极多,有经验的攻击者会手动调整攻击参数,致使攻击数据的变种不可枚举,这导致传统的特征匹配检测方法仅能识别相当少的攻击,难以防范。二是攻击过程简单,目前互联网上流行众多的SQL注入攻击工具,很容易实施攻击。三是危害大,攻击者一旦攻击成功,可以对控制整个 Web业务系统,对数据做任意的修改,盗取用户的各类账号;可在网站挂马;可控制受害者机器向其他网站发起攻击等。
据启明星辰公司技术人员介绍,网站必须重视这两种攻击,并采用新的技术,防范这类攻击。该技术人员同时强调,目前,业界对解决Web安全的主流思路存在不足:目前主要的识别和防御方法有基于特征的关键字匹配技术和基于异常检测技术。前者由于其技术局限性和机械性,会形成漏报和误报。而后者能够发现一些异常,但其缺陷也显而易见,比如需要一定的学习期才能投入使用,而且一段业务模型发生变化,就需要重新学习,更为重要的是,异常未必就是攻击。
在学术界,针对SQL注入,同样有两个重要的研究方向:基于正常行为模型的AMNESIA和基于数字签名技术的SQLRand 方法,而这些方法的主要弱点是需要获得应用程序的源代码和修改源码,同时需要改变原有业务系统的部署,方案复杂。
启明星辰开发的专利算法VXID的天清入侵防御系统据称能应对这两类攻击。VXID算法是一种将规则分析(建立虚拟机检测规则的过程)和异常分析(符合 Web攻击模型的,就是Web攻击)相结合的技术。据称,利用了该算法的启明星辰IPS,在测试和实际应用中对SQL 注入和跨站脚本攻击的报警率可达到100%,并能实施精确阻断。