网站安全堪忧，挂马、SQL注入，解决之道何在？

 WEB应用的发展，使网站产生越来越重要的作用，而越来越多的网站在此过程中也因为存在安全隐患而遭受到各种攻击，例如网页被挂马、网站SQL注入，导致网页被篡改、网站被查封，甚至被利用成为传播木马给浏览网站用户的一个载体。在那些黑客的眼里，网站并非是一个提供互联网服务和信息交流的平台，反而成为可以被低成本利用获取价值的一个途径。

        我们看看当前网站安全状况，数字的增长速度令人震惊。具不完全统计，这几年中国大陆网站入侵导致网页被篡改成倍增长；2007年仅网页篡改已经是2004年的30倍，达到61228，这还不包含未被官方披露的数字。
 

        还有很多网站被黑客所利用，进行网页挂马，导致浏览这些网页的人自动被种植木马。可以说经常上网人几乎都遭遇过网页木马，轻则使系统异常、成为黑客们的傀儡终端，重责导致个人敏感数据被盗。以下只是曾经被媒体披露过的一部分事件。

        2006年，河南省政府网主页篡改；2006年，数字安徽网、中国银联、必胜客&肯德基网页挂马；2006年，河南省人事厅黑客入侵；2007年，成都市档案局网站主页篡改；2007年3月30日，东方卫士网站网页挂马；2007年8月11日，海尔官方网站网页挂马；2007年10月25日，木蚂蚁绿色软件园网页挂马2007年12月22日，千千静听官方网站网页挂马；2008年1月11日，绿色软件网网页挂马；2008年4月16日，酷狗网网页挂马；2008年4月19日，红心中国我赛网主页篡改。

一、网站安全问题的原因何在

        安全问题几乎成为网站不能承受之重，追溯起来诱因很多。

1. 大多数网站设计，只考虑正常用户稳定使用

        一个网站设计者更多地考虑满足用户应用，如何实现业务。很少考虑网站应用开发过程中所存在的漏洞，这些漏洞在不关注安全代码设计的人员眼里几乎不可见，大多数网站设计开发者、网站维护人员对网站攻防技术的了解甚少；在正常使用过程中，即便存在安全漏洞，正常的使用者并不会察觉。但在黑客对漏洞敏锐的发觉和充分利用的动力下，网站存在的这些漏洞就被挖掘出来，且成为黑客们直接或间接获取利益的机会。对于Web应用程序的SQL注入漏洞，有试验表明，通过搜寻1000个网站取样测试，检测到有11.3%存在SQL注入漏洞。

2. 网站防御措施过于落后，甚至没有真正的防御

        大多数防御传统的基于特征识别的入侵防御技术或内容过滤技术，对保护网站抵御黑客攻击的效果不佳。比如对SQL注入、跨站脚本这种特征不唯一的网站攻击，基于特征匹配技术防御攻击，不能精确阻断攻击。因为黑客们可以通过构建任意表达式来绕过防御设备固化的特征库，比如：and 1=1 和 and 2=2是一类数据库语句，但可以人为任意构造数字构成同类语句的不同特征。而and、=等这些标识在WEB提交数据库应用中又是普遍存在的表达符号，不能作为攻击的唯一特征。因此，这就很难基于特征标识来构建一个精确阻断SQL注入攻击的防御系统。导致目前有很多黑客将SQL注入成为入侵网站的首选攻击技术之一。基于应用层构建的攻击，防火墙更是束手无策。

       

原文转自：http://www.ltesting.net