慧聪网首页所有行业资讯中心企业管理商务指南展会访谈行业研究博客慧聪吧找供应找求购免费注册立即登录加入买卖通即时沟通网站导航

启航2009 网络安全市场的畅想与展望

2009/1/19/08:35 来源:慧聪IT网 作者:星晨

    慧聪IT网讯:过去的2008我们经历了太多太多,有苦涩、有甜蜜,有沉闷、有兴奋,有激烈的争辩、更有深情寄语……,即便你记忆力再好再有表达能力也很难说清楚2008年所发生的一切。然而,有些事情是记忆深刻的,你想忘都很难。互联网上的血雨腥风刚刚退去,即将到来的2009是否会掀起新一波高潮?

    一、系统漏洞、软件漏洞

    系统漏洞、软件漏洞等等这一系列的漏洞成为了攻击者最好的利用武器,随着微软全力封杀盗版系统,一些还在使用盗版的用户不敢再进行在线更新,这种有补丁不敢打的情况很可能会在短期内滋生更多的攻击。我们要肯定微软封杀盗版的行为,但在中国当前环境下,有些用户还无力支付正版费用时,铤而走险承担漏洞也成了无奈选择。

    继GDI+图片漏洞之后,又一影响更为深远的攻击漏洞Clickjacking被揭露。通过此漏洞,黑客可以控制用户的浏览器,在用户毫不知情的情况下点击任意链接、任意按钮或者网上任意的东西。黑客可以轻易利用flash小游戏来控制用户的摄像头和麦克风,并可以进一步利用病毒木马,盗取用户网银,游戏帐户,QQ帐户等用户虚拟财产或者控制用户摄像头偷窥用户隐私……

    漏洞威胁以其不确定性让很多用户头疼,事实上,一个好的应急机制此时是十分必要的,除了开启软件和系统的自动更新功能外,时刻关注公布漏洞的网站也很必要,自动+手动才可能避免一触即发的漏洞威胁。当然,安装一款带有安全补丁更新机制的杀毒软件也是有帮助的。

    二、拉开了注入式攻击

    2009年初针对Discuz论坛的攻击拉开了注入式攻击的序幕,这次论坛集体休克事件后,让越来越多的站长对即成程序表示了担心和怀疑,因为一旦漏洞出现,其普遍应用性远远大于网站本身招致的危险。其实SQL注入攻击早已是黑客对数据库进行攻击的常用手段之一。随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多,但是由于程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。

    虽补丁越打越多,但随着程序功能的愈加强大,其注入点只会越来越多,只不过发现的难度要更大了。由于SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别,所以目前市面的防火墙都不会对SQL注入发出警报,如果管理员没查看IIS日志的习惯,可能被入侵很长时间都不会发觉。

   三、钓鱼网站

   钓鱼网站,是指假冒银行、电子商务网站骗取用户账号、密码,用以非法牟利的网站。这些虚假网站层出不穷,为钓鱼网站的治理带来较大难度。据悉,淘宝、腾讯、百度、GOOGLE等网站都曾被仿冒。

  从反钓鱼网站联盟处获悉,根据中国反钓鱼网站联盟的认定及处理流程,联盟在接到涉及联盟成员的钓鱼网站投诉后,权威技术鉴定机构会立即对其进行判定,一经认定,域名注册服务机构两个小时内暂停其域名解析,终止欺诈行为。

  钓鱼网站成为危害互联网安全,阻碍电子商务、在线金融业务发展的严重问题。企业为应付钓鱼网站付出了大量的精力和成本。 

    四、安全隐私陷危机 

    SNS的兴起让人们拉近了距离,互联网不再仅是虚幻的天堂,当真实性得到提高后,又有谁能保证这些隐私的安全呢?前一阶段曝光的数据交易内幕中,一位黑客就表示:像开心网这样的热门社区,强调实名注册,一个登录账户和个人资料最多值几毛钱,QQ用户的资料也就值几分钱,得手后往往将其提供给一些商家。

    SNS本身的效应就已经涉及到隐私危机的问题,真心话大冒险,投票系统让熟人之间了解对方的隐私。当然,从技术角度上看,SNS的隐私危机还不仅于此,由于都是互相了解的人,一旦账号被破解,其在页面上放置的一些信息很可能将其它用户导向危险地区,这也是信任度提高后的一种钓鱼方式。相信2009年会有更多黑客将攻击方式在SNS上应用,对于个人用户来说,防范自身账号安全就显得尤为重要了。

    五、软件编程错误 导致互联网安全危机四伏

   大多数IT安全事件如补丁程序或网络攻击等都与软件编程错误有关,在过去的三年中,非赢利调研机构MITRE和美国系统网络安全协会( SANS Institute)发现了700多处常见的软件编程错误,经过安全专家的筛选,最终于周一公布了以下25大软件编程错误:

    1. 错误的输入验证

    2. 不正确的编码或转义输出

    3. 维持SQL查询结构(SQL注入)错误

    4. 维持网页结构(跨站点脚本)错误

    5. 维持操作系统命令结果(操作系统命令注入)错误

    6. 明文传送敏感信息

    7. 跨站点请求伪造

    8. 资源竞争(Race condition)

    9. 错误信息泄露

    10. 限定缓冲区内操作失败

    11. 外部控制重要状态数据

    12. 外部控制文件名或路径

    13. 不可信搜索路径

    14. 控制代码生成错误(代码注入)

    15. 下载未经完整性检查的代码

    16. 错误的资源关闭或发布

    17. 不正确的初始化

    18. 错误计算

    19. 可渗透防护

    20. 使用被破解的加密算法

    21. 硬编码密码

    22. 对核心资源的错误权限分配

    23. 随机值的错误利用

    24. 滥用特权操作

    25. 客户端执行服务器端安全

    相关阅读

    ·云计算火热 是否可以带来真的安全?

    ·云计算来临之时 应未雨绸缪安全问题

    ·春节临近 您的网站做好防黑准备了吗

 

[1] [2] 下一页 

我要评论

】 【打印