由于网站的价值日益凸显,网站安全问题也逐渐得到组织和个人的关注。然而,面对不断变化的网站安全威胁,当前的安全措施是否能够很好的应对,这是关注网站安全必须清晰认识得关键问题。接下来,深圳网站建设博纳网络就从客观的威胁环境以及主观的应对情况来分析一下目前网站安全的现状。
2.1安全威胁分析
从客观方面看,如今网站所处的威胁环境已日益恶化,各种攻击事件层出不穷,在这些事件的背后,我们还要分析一下黑客为什么要攻击网站?他们主要已用什么方式攻击网站?这对我们采取针对性的安全措施是非常有帮助的。
2.1.2黑客为什么攻击网站
攻击越来越容易,成本越来越低
在Internet上,自动化技术使得网站攻击轻而易举就能成功,计算能力和网络带宽一天比一天廉价,可供攻击的目标主机在呈指数增长,这意味这几乎所有攻击付出的代价很少,因此不论其成功率有多低,对黑客来说都值得一试。
攻击的主要目的是获利
黑客攻击网站的目的无外乎两种,一是为名,一是为利。只不过在市场经济时代,大多数黑客攻击网站的目的都是后者,获取利益。而要进行攻击并获得利益,自然是要中招的人越多越好,再就是每个中招的人带来的利益越大越好。因此,黑客在选取攻击网站时会考虑两个方面,一是网站的访问量,要选取访问量相对较大的网站;二是网站利益类型,选取特定类型的网站如电子商务、网络游戏、金融类网站等,这样获取的利益也会更大。
Web应用层攻击是主流
由于针对网站的网络访问控制措施被广泛采用,且一般只开放HTTP等必要的服务端口,因此黑客已经难以通过传统网络层攻击方式(查找并攻击操作系统漏洞、数据库漏洞)攻击网站。然而,Web应用程序漏洞的存在更加普遍,随着Web应用技术的深入普及,Web应用程序漏洞发掘和攻击速度越来越块,基于Web漏洞的攻击更容易被利用,已经成为黑客首选。据统计,现在对网站成功的攻击中,超过7成都是基于Web应用层,而非网络层。前不久OWASP (Open Web Application Security Project)机构发布了“2007年十大Web安全漏洞”,XSS和SQL注入漏洞排名前两位,是目前存在最为普遍,利用最为广泛,造成危害最为严重的两类Web漏洞。
黑客获利的两种主要方式
黑客通过Web应用程序安全漏洞攻击网站,一般会采取两种手段来达到博名、获利的目的:
1、篡改网站数据
通过SQL注入等漏洞获得网站权限后,可以进行网页挂马,网页篡改,修改数据等活动。例如,黑客可以通过网页挂马,利用被攻击的网站作为后续攻击的工具,致使更多人受害;也可以通过网页篡改,丑化网站所有者的声誉甚至造成政治影响;还也可以通过修改网站敏感数据,直接达到获取利益的目的。
2、窃取用户信息
利用网站漏洞,构造特殊网页或链接引诱网站管理员,普通用户点击,以达到窃取用户数据的目的。例如游戏、网银、论坛等账号的窃取,大多是利用了网站的XSS漏洞实现的。
总之,随着攻击技术的不断进步,越来越多的攻击者利用更容易被利用的、普遍存在的Web漏洞对网站进行攻击并频频得手,目前网站的生存环境已经日益恶化。部分网站的所有者已经遭受到攻击,并从攻击造成的损失中深刻认识到网站安全问题的紧迫性。但大多数网站的所有者仍然处在已经被攻击而浑然不觉,或者即将被攻击而无应对的巨大风险之中。
