以文本方式查看主题 - 中文XML论坛 - 专业的XML技术讨论区 (http://bbs.xml.org.cn/index.asp) -- 『 XML安全 』 (http://bbs.xml.org.cn/list.asp?boardid=27) ---- 中数博阳:纵观中国WEB安全5年的发展历程 (http://bbs.xml.org.cn/dispbbs.asp?boardid=27&rootid=&id=88921) |
-- 作者:venus.han -- 发布时间:12/27/2010 11:38:00 PM -- 中数博阳:纵观中国WEB安全5年的发展历程 其实讲安全应该从2005年开始,2005年我在美国有一个演讲,就是在关于Web安全的日常检测。从2006年开始攻击事件急速的增加,在中国被篡改网站的数量也急剧增加。而且这里面一个很重要的特点是从七八年前会出现炫耀黑客技术,从那时黑客产业链开始浮出水面。2006年大家开始关注取证式的WEB应用弱点扫描,比如安全开发、安全部署等一系列安全体系构成了我们WEB应用安全的整体。2007年WEB2.0开始大量出现,实际当时使用WEB2.0的还不是很多,包括国外的社区和国内都出现类似利用跨站,Web安全漏洞给人家很多在视觉和信用上的传播。 讲到黑客产业链,实际在过去和之前大家都收到过很多邮件,通过欺骗希望你点击以后中招,后来发展到在线业务,利用这个挂马,达到黑客间接攻击,而且这个攻击的隐蔽性非常强,它的效果非常好。因为黑客产业链必然以经济为基础,所以它需要追求用最低的成本达到最大的效益和最好的效果。每天有几十万访问量的网站和在线业务,比如网上营业厅、网上银行,所有这些必然会成为最直接可以利用的途径。当然这里面很复杂,而且他们有控制人、有买卖,有地下交易,还有洗钱,这些都可能在不同的国家发生。 2008年里程碑的事件是奥运会,但是它背后有很多故事,我是奥组委安全专家组的成员,在奥运大厦有好多次讨论相关的攻击防范,实际在奥运会开幕前的十个月我们已经开始对奥组委相关的网站进行相应的加固,实际奥组委网站改版很多次,但是大家可能没有意识到。这当中也发生很多有意思的事情,奥运会给安全业界最大的启发就是安全意识的提高,这与OWASP讲的精神一样。 2008年还有一件很重要的事情,就是群注风暴,全球大概有10万个网站被挂马,它是批量注入,利用应用程序的弱点,通过篡改参数来达到或控制修改后台数据库,禁止达到控制所有相关攻击的目的。那么通过什么来发现它呢?最简单的手段就是google,因为它能够非常高效的告诉你有多少网站。它所达到的效果是对后台所有字符型的字段里面插入一段恶意代码,这段脚本达到的目的是用户插入数据库,后台的数据库因为是动态页面,会有动态的信息展示,展示的过程中任何用户访问这个网站,它其实就会执行这个JS,进而去种植到本地。实际上美国有很多资深的安全公司的网站也在这次群注中落马。当时安全小组发现一台肉鸡在做这个事情,这段自动化工具写的比较精悍,但是非常实用,而且大家注意到它用到了一点点的绕过。 经过2008年,我觉得安全的意识大家有很大的提高,到2009年时,中国的标志性事件是国庆六十周年安保。国庆六十周年的安保请公安部和通信安全中心对全国的网站进行抽样,在随机抽样的检测中大概有一半的网站存在严重的问题,就是可以随意的注入画面等东西。通过一些统计数据,注入画面表单绕过是非常严重的,事实上这些数据反过来验证了数据的宝贵性和统计的准确性,像注入、跨站这类的问题每年都排在非常前面。在这个过程中发现有一些网站甚至是已经被挂马或者已经被控制。 到了2010年,在Web安全方面有两个方面,一类是远程执行任意代码事件,比如像我们有些网站用BBS等第三方模块,反过来说明应用安全、整体安全一定要提升的。远程攻击者可以在这个系统上执行任何的命名,这样它的远程攻击的威胁性、严重性都是非常明显的。还有一个漏洞是.NET的攻击泄露漏洞,说到这个想到了实施防范里面的原理,其实在攻击过程当中我们很多时候是利用返回不同的信息达到我们的效果。 今年黑帽子大会上有位专家讲到云计算是安全的一场恶梦,事实上本身我们自己网络内的安全都还管不好的情况下,应用安全都管不好的情况下,你硬去相信一朵云,这朵云你从来都没有见过,这块的挑战确实是巨大的。还有移动互联网,智能终端又变成受害者之一。核心互联网网上的挑战也会非常严峻 ,为什么这样说呢?现在随着经济利益的驱动,其实最好的效果是在于有大量的有价值信息的,比如说网上银行,比如说网上证券交易,比如说网上营业厅,比如说电子政务相关的一些东西,比如说网游,这些都会成为实际的目标。其中矛与盾始终在对抗,在这当中应用安全和数据安全的价值会更大的促进体系的发展,因为不管是移动互联网还是云计算,不管我们的核心业务在外还是在内,实际上是应用为王、业务为王,不可否认的是WEB面临的挑战依然存在。 |
W 3 C h i n a ( since 2003 ) 旗 下 站 点 苏ICP备05006046号《全国人大常委会关于维护互联网安全的决定》《计算机信息网络国际联网安全保护管理办法》 |
46.875ms |