隨著中國信息化建設(shè)的高速發(fā)展，中國已經(jīng)發(fā)展成全球第二大的互聯(lián)網(wǎng)用戶，也帶來了互聯(lián)網(wǎng)網(wǎng)站的高速發(fā)展。當(dāng)前的互聯(lián)網(wǎng)網(wǎng)站已經(jīng)成為信息傳播、流通、交換及存儲的重要手段。政府部門的信息化建設(shè)，使得電子政務(wù)的加速增長，越來越多的傳統(tǒng)辦公業(yè)務(wù)轉(zhuǎn)變成依懶互聯(lián)網(wǎng)的網(wǎng)站業(yè)務(wù)。企業(yè)的B2B、B2C業(yè)務(wù)的發(fā)展更多地依靠于網(wǎng)站業(yè)務(wù)的正常運(yùn)行。各大商業(yè)銀行為了方便業(yè)務(wù)的開展，依懶于網(wǎng)站提供更多的在線服務(wù)方式。隨著網(wǎng)站與網(wǎng)頁數(shù)的與日俱增，Web安全問題變得更為嚴(yán)峻。由于互聯(lián)網(wǎng)網(wǎng)站處于全天候的開放狀態(tài)，而承載網(wǎng)站的應(yīng)用程序具有自身無法完全克服的Web安全漏洞問題，這就為黑客的入侵提供了可乘之機(jī)。

互聯(lián)網(wǎng)網(wǎng)站與網(wǎng)頁存在一些安全問題，比如網(wǎng)站服務(wù)器易出現(xiàn)的以下問題：

◆網(wǎng)站腳本程序的Web安全問題檢測，如網(wǎng)站的默認(rèn)數(shù)據(jù)庫，默認(rèn)管理帳號(admin，root，manager等);

◆網(wǎng)站程序設(shè)計(jì)存在的Web安全問題檢測，網(wǎng)站程序設(shè)計(jì)者在編寫時，對相關(guān)的安全問題沒有做適當(dāng)?shù)奶幚?，如SQL注入，上傳漏洞，腳本跨站執(zhí)行等;

◆服務(wù)器配置不當(dāng)，安全策略設(shè)置存在缺陷，可導(dǎo)致產(chǎn)品被入侵的問題檢測;

◆應(yīng)用服務(wù)權(quán)限設(shè)置導(dǎo)致系統(tǒng)被入侵的問題檢測;

◆系統(tǒng)和服務(wù)的補(bǔ)丁未升級導(dǎo)致系統(tǒng)可被入侵的Web安全檢測等。

利用網(wǎng)站的安全漏洞，尤其是Web應(yīng)用程序漏洞：如SQL 注入等，黑客能夠得到 Web 服務(wù)器的控制權(quán)限，隨意篡改網(wǎng)頁內(nèi)容或竊取重要內(nèi)部數(shù)據(jù)，更為嚴(yán)重的則是在網(wǎng)頁中植入惡意代碼，通過"網(wǎng)頁掛馬"感染更多的客戶端用戶。通過這一行為，黑客可以控制網(wǎng)站的訪問者甚至包括網(wǎng)站本單位的人員的計(jì)算機(jī)，從而實(shí)現(xiàn)盜取銀行帳號、內(nèi)部機(jī)密信息等各種不可告人的目的。由于網(wǎng)頁木馬制作的簡單性和網(wǎng)絡(luò)漏洞存在的必然性，通過網(wǎng)站漏洞進(jìn)行網(wǎng)頁掛馬已經(jīng)成為當(dāng)前最流行的網(wǎng)站攻擊方法和最受黑客青睞的木馬散播方式。2007年微軟系統(tǒng)的安全漏洞，以及各種應(yīng)用軟件存在安全漏洞，如MS06014安全漏洞、MS07004安全漏洞、Open9.0-9.2安全漏洞、PPS安全漏洞、Web迅雷安全漏洞、Ani指針安全漏洞、暴風(fēng)播放器安全漏洞、JetAudio 7.x安全漏洞、百度插件安全漏洞、PPlive安全漏洞、雅虎安全漏洞、MS07055安全漏洞、迅雷5安全漏洞、超星的安全漏洞等安全漏洞問題。各種漏洞生成的相應(yīng)的漏洞利用網(wǎng)馬并進(jìn)行掛馬，使得網(wǎng)頁掛馬事件得到快速的發(fā)展。

網(wǎng)絡(luò)信息化建設(shè)的不斷發(fā)展、核心應(yīng)用業(yè)務(wù)迅速網(wǎng)絡(luò)化以及互聯(lián)網(wǎng)用戶的飛速增長，我們面臨的Web安全威脅也日益增多和復(fù)雜。根據(jù)CNCERT的最新統(tǒng)計(jì)數(shù)據(jù)，2007年CNCERT共接到網(wǎng)絡(luò)安全事件報告4390件。2007年我國大陸被篡改網(wǎng)站總數(shù)達(dá)到了61228個，同比增長1.5倍;其中政府網(wǎng)站(.gov.cn)被篡改3407個，占大陸被篡改網(wǎng)站的7%。CNCERT統(tǒng)計(jì)顯示，大陸地區(qū)約有4.3萬個IP地址主機(jī)被植入木馬，約有362萬個IP地址主機(jī)被植入僵尸程序。從以上數(shù)據(jù)可以看出，提高業(yè)務(wù)網(wǎng)站的Web安全防護(hù)，是保障業(yè)務(wù)正常進(jìn)行的必然前提。

國內(nèi)被篡改的網(wǎng)站為政府、學(xué)校、信息綜合門戶、知名企業(yè)等影響力高、受眾面廣的網(wǎng)站，而一些中小企業(yè)的網(wǎng)站更是易被侵入篡改。網(wǎng)站被篡改帶來的不良影響，不僅僅是單位組織的形象和聲譽(yù)遭到破壞，而且會直接影響以網(wǎng)站運(yùn)營為主的業(yè)務(wù)，帶來一定的經(jīng)濟(jì)上的損失。如何保護(hù)網(wǎng)站的安全性，是眾多網(wǎng)站管理員及單位組織關(guān)注的事情。除了網(wǎng)絡(luò)管理員提供日常管理維護(hù)，還需要專業(yè)的安全人員對網(wǎng)站及相關(guān)服務(wù)器的安全性進(jìn)行檢測。

網(wǎng)站是否存在Web 應(yīng)用程序漏洞，往往是被入侵后才能察覺;而網(wǎng)站是否已經(jīng)被掛馬，通常是在被訪問者投訴或被監(jiān)管部門查處才能察覺，但這個時候損失已經(jīng)發(fā)生;如何在攻擊發(fā)動之前主動發(fā)現(xiàn)Web應(yīng)用程序漏洞以及網(wǎng)站在掛馬發(fā)生之后迅速獲悉，已成為構(gòu)筑Web安全的上上策。目前解決這一問題的通常方式就是網(wǎng)站的運(yùn)維管理人員購買專業(yè)的Web掃描工具，同時學(xué)習(xí)專業(yè)的安全知識，并對網(wǎng)站進(jìn)行常規(guī)掃描、高頻度檢測，但專業(yè)的掃描工具往往不能解決木馬問題，并且開銷巨大，同時面對Web網(wǎng)站復(fù)雜的安全需求，也有自身的一些局限性。

【編輯推薦】

1. Anchiva Web應(yīng)用安全網(wǎng)關(guān)
2. Web應(yīng)用防火墻選購指南
3. Web應(yīng)用防火墻的功能與價值
4. xss攻擊 Web安全新挑戰(zhàn)
5. 百家爭鳴：web攻擊與web防護(hù)