千万用户信息泄露国内Web安全遭受威胁

2011年12月，是中国互联网“黑色”的一个月，据多家媒体披露多达千万用户信息大规模泄露。从国内最大的计算机技术社区到国内各大论坛社区，以及网络支付平台无一幸免。不管是作为中国互联网的长寿产品，还是近年来迅猛发展的互联网公司，都一一淹没在了被曝用户信息泄露的舆论声中。

企业网站用户密码泄露，警钟为谁而鸣

频频出现在国内各知名网站的关于“数据库被黑客攻陷导致用户信息泄露”的新闻，事件过程大致都是黑客入侵了网站的web服务器，盗取了大量用户注册信息，其中包括注册邮箱、用户名、密码（多是密文、部分网站是明文），并将这些数据在互联网中进行传播，给广大网民和网站运营商带来很大的恐慌，使得相当一部分人陷入了不停修改账户密码的深渊中。

“黑客”、“网络安全”、“信息泄露”这些字眼再度引起大家的关注，到底是黑客技术太高导致黑客攻击行为日益猖獗，还是网站自身安全意识不够导致安全问题频出呢？许多网友也在争论这一话题。笔者作为多年从事网络安全领域的媒体人员，在此也谈谈自己的一些看法。

其实此类事件并不仅在中国网络中才发生，全球任何地方都存在这种现象。网民所发表的论点其实都有一定道理，我们没法去评判谁对谁错，但是可以找一个标杆作为参照，网民可以对号入座，这样就明白自己所处的具体情况怎么样了，而我选择的标杆就是“纳斯达克网站”。

纳斯达克的网站，一向被人们认为是世界上安全保障体系最严格的网站之一。从建设之初，华尔街就一直以纳斯达克所采用的精良的网络保障技术为傲。然而，近十年来，纳斯达克却不断传出遭遇黑客攻击的消息。风险来自哪里呢？事实上，为了保障数据的安全和用户的隐私权，很早纳斯达克便建立了以防火墙及安全访问管理机制为核心的安全体系。然而，现有的安全防护措施主要通过SSL安全代理、防火墙、IDS/IPS、软件防火墙或是防病毒等系统来解决问题。由于这些安全防护措施自身的局限性，导致网站难以应对日新月异的安全威胁，特别是目前基于正常WEB访问而发起的WEB应用攻击手段。因此，像纳斯达克这类安全体系相对健全的网站，面对黑客的攻击也不能幸免。

同时越来越多的黑客攻击集中到Web服务上，这些恶意攻击已为各机构造成极为严重的后果，带来诸如高层档案资料的毁坏、丢失，公司信誉损害，法律诉讼及财务损失等损害。

国内信息安全专家安氏领信支招

随着信息泄露事态逐步升级，笔者近期走访了业内资深信息安全厂商北京安氏领信科技发展有限公司，与安氏领信的专家共同探讨Web安全问题。安氏领信安全实验室的工程师介绍说，当前Web应用的安全风险要远远大于人们以往的认知。通常在服务器端，黑客往往会利用支付或者查询系统自身存在的安全漏洞来侵入系统。比如，基于WEB应用的SQL注入攻击，基于数据库应用的OracleLinstener攻击，以及基于操作系统的缓冲区溢出攻击等方式，早已成为黑客攻击时惯用的伎俩。

Web服务信息安全涉及了网络通信、系统应用以及数据文件等多层面的安全防护技术，关联到从硬件设备到系统服务等多方面的问题，单一的安全技术很难完善的解决。

首先，在系统安全防护方面，传统防火墙、IPS等设备对于操作系统、Web服务软件的弱点漏洞、蠕虫、拒绝服务等攻击行为具有很好的防御能力，但是面对Web应用程序的威胁却缺乏有效防护；Web应用防火墙虽然可以有效防范诸如SQL注入、跨站脚本、CSRF、文件路径猜测、系统代码执行、会话劫持等针对Web应用的攻击，但面对网络层面及操作系统的攻击却无计可施。

其次，在客户端方面，大多用户的个人电脑其实也并不安全。用户对网络风险的不警觉以及用户个人账号密码存放的不安全，都可能导致恶意攻击者利用远程木马或是钓鱼网站获取用户的个人账号及密码，最终损害用户的直接利益。

因此，Web安全问题已成为交易类网站的最大风险源，并且有逐年飞速增长的势头。

反观纳斯达克的Web安全隐患，我们发现，即使是像他们这样技术精良的网站，依旧存在不少风险，相比之下，我们大多数网站的防护能力就显得非常薄弱。下面我们就来看看十种黑客惯于利用的攻击方式：

第一、缓冲区溢出攻击。由于应用程序的编码会尝试将应用数据存储于缓存中，而不是正常的分配，这种漏洞往往被黑客所利用，变为攻击手段。因为借助这种错误，恶意代码就可以溢出到另外一个缓存中去执行。

第二、跨站点脚本攻击。攻击类型的代码数据可以被插入到另外一个可信任区域的数据中，最终导致使用可信任的身份来执行攻击，这种攻击方式也是黑客惯用的伎俩。

第三、服务拒绝攻击。这种攻击会导致服务没有能力为正常业务提供服务。

第四、异常错误处理的风险。当错误发生时，系统向用户提交错误提示是很正常的事情，但是如果提交的错误提示中包含了太多的内容，就有可能会被攻击者分析出网络环境的结构或配置。

第五、非法会话标识攻击。当会话标识没有被正常使用时，攻击者还可以借机破坏Web会话，并且实施多个攻击（通过冒用其他的可信任的凭证），借此来绕开认证机制。

第六、命令注入攻击。这一问题的风险是，如果系统没有成功的阻止带有语法含义的输入内容，就有可能导致对计算机系统的非法访问。黑客通过把HTML代码输入一个缺乏有效验证限制的表格域来改变网页的动态生成的内容。当用户进入一个有命令注入漏洞的网页时，他们的浏览器会执行那个代码，而这样就可能会导致恶意命令掌控该用户的计算机和他们的网络。

第七、弱认证机制的隐患。虽然只要通过正确的开发Web应用就可以轻而易举的避免此问题，但是在众多已经在线使用的应用中，这类问题却十分严重。一旦黑客利用弱认证机制或者未加密的数据来获得访问，或是破坏、控制数据，就会造成非常严重的影响。

第八、未受保护的参数传递风险。由于利用统一资源标识符（URL）和隐藏的HTML标记可以传递参数给浏览器，所以浏览器在将HTML传回给服务器之前，是不会修改这些参数的。利用这一破绽的黑客工具现在也比比皆是。

第九、不安全的存储。对于Web应用程序来说，妥善的保存用户名、密码，以及其它与身份验证有关的信息是非常重要的工作。对这些信息进行加密才是最有效预防的方法。然而，在实际操作过程中。大多企业却总是采用那些未经实践验证的加密解决方案，这些方案本身就充满了漏洞。

第十、非法输入。在数据被输入程序前忽略对数据合法性的检验是一个常见的编程漏洞。在对Web应用程序脆弱性的调查中，非法输入问题已经成为大多数Web应用程序的最典型漏洞之一。

基于对以上安全问题的分析，安氏领信的工程师对国内三大主流门户网站做了注入攻击检测，发现同样存在明显的注入漏洞，安全被轻意瓦解。同时安氏领信的工程师们给出了一套经过深入研究后的完善的领信Web盾安全解决方案：

首先，安氏领信专门针对Web服务所面临的安全问题将网络防火墙、入侵防护系统、 Web应用防火墙、 DOS防护网关、网页防篡改系统等多种安全产品和技术进行高效的整合后设计了领信Web盾系统；

此外，根据多年对黑客攻击行为的追踪和渗透测试的经验，安氏领信建立了对黑客行为特征的完整数据库，据此对黑客的各种攻击方式进行检测，从而对已知的Web应用程序漏洞进行防护，并且对基于正常行为认知和协议（行为）异常的情况也有很完善的检测防护机制，从根本上杜绝由于Web防护的漏洞被黑客入侵导致重要数据泄露的情况。

同时，领信Web盾针对Web服务器防护特点及管理员的使用习惯，提供了最简洁方便的策略配置逻辑，无需专业安全技术背景也能很好的对其进行操作。领信Web盾的部署无需更改网络拓扑、无需变更服务器配置，以极具竞争力的管理维护成本，实现用户投资回报的最大化。

虽然目前并不存在能够100％免疫黑客入侵的产品或者解决方案，但是我们应该提高网络安全防范意识，尽力做到全面积极的防护，从而在我们力所能防的范围内，有效应对已知的入侵攻击，妥善保管用户的数据资料，避免此类“信息泄露”事件再次发生，给予用户充分的安全保障。