【转贴】赛迪访谈:网站安全之网站的安全体检
主持人:
各位网友大家下午好!欢迎大家再次来到赛迪网聊天室,我们今天请到了启明星辰公司产品管理副总工,也是安全部门经理吴海民先生。这次聊天话题比较轻松,是大家身边的事情,就是网站安全的事儿。我们经常看到很多网络安全的攻击还有一些隐藏的网络安全我们不知,首先请吴总给大家介绍一下08年网站安全的总体特点?
吴海民:
大家好,2008年从生活来看大事件不断,是不平凡的一年。从网络安全来看也是不平凡的一年,总体来看WEB攻击成为主流的一种方式,现在威胁很多是合法的,可信赖的网站,甚至政府的一些网站都可能受到危机。这对于网站的入侵、挂马也常见。从攻击角度来看主要是两个层面,一个是WEB层面,一个是客户端的应用软件,也包括微软的一些新的系统漏洞。影响有向个层面:
08年有大规模的群注事件,发生了三轮。以前单体的攻击现在变成了批量化、职能化的的攻击,这对网站来说是非常危险的。甚至一些安全公司的网站也被攻击了。这件事情敲响了网站安全的警钟。还有一个是跨脚本漏洞也是入侵的关键。一个是注入一个是跨站脚本入侵。
微软连续报了两个漏洞,5月份的是GPR漏洞,后来又报了一个,所以你觉得没有最危险,只有更危险,还有一个是Flans漏洞。这种层面的漏洞给了恶意攻击者提供了很多便利。当我们想这个过程中可能也会想防范的措施但是效果不是特别明显。
比如现在提云安全,在我理解云安全一个是解决了木马的样本体收集更快捷,但是云安全只是解决客户端层面。但是云安全往往忽视到了网站的安全。作为网站管理用云安全的话很难有保证。云安全并没有触到网站的根源问题。
第二,08年一个大事件就是奥运会。奥运之前比如以证券行业为代表,专门发了171号文,检查过程中发现证券网站不安全性也广泛存在的。另外国务院的也发了8号文,也明确提出对于网站至少要做到挂马对于注入、跨站脚本等进行检测。一方面看到问题,但是我们也看到了一些好处就是通过前面的检查采取了相应的措施。奥运期间网站整体安全状况比较平稳这说明一点,当我们知道问题以后如果能够加强监测、防范措施的话,那么网站安全形势可以控制。但是我们也比较担心一点,大家不要把网站安全当成一个事件去重视,要对网站长期的安全角度去重视。
第四个特点是网络安全这块从安全厂商来看确实也想了一些办法。比如现在基于针对网站防护或者防范Web业务攻击的产品,不管是应用防火墙还是IPS也好都得到了加强。启明星辰也在这期间大量部署一些产品,这些产品的部署上去确实对网站的安全性有一定的加强。但是我相信攻击方和安全厂商之间的对峙还会持续下去,双方都会提升。所以从这四个角度来看08年的网络安全即有积极的一面也有形势严峻的一面,这个会长期共存下去。
主持人:
吴总刚才说了像挂马、SQL输入,除了这些网站安全还有哪些问题呢?
吴海民:
从技术角度来看网站的问题有几个方面:可能这个网站通过浏览器提交,可能暴露网站的敏感信息。举个例子,比如我们检查的时候发现通过浏览器输入检查把主机用户名、密码可以通过浏览器直接访问到,这些文件下载以后可以进行解密的。作为一个网站如果系统用户名、口令都能够通过浏览器的方式发现的话,那这个网站的安全可想而知。
第二,因为现在网站交互能力比较强,对于用户由于在脚本编码过程中很多忽视了用户输入的验证,由于这点跨脚本就出现了漏洞,由于过滤不成功就可能进入到网站做编程的人没有想到的环节中去。
主持人:
每次去论坛都有验证码,这个不够严谨吗?
吴海民:
这是表明一种身份,可能是限制你发帖的数量。我刚才说的输入是因为网站WEB 服务器是提交以后检查以后提取,这种输入不完全相当于你直接访问了这数据库。这种情况下导致信息的漏洞。比如通过这种方式很容易拿到你后台数据库的权限,获取数据库的后台管理用户名密码。这些都是通过在浏览器中可以去调取的。
第三,网站不安全还有一点,因为网站都有一些管理后台。这些管理后台通常是采用默认的路径,比如Admin等,这很容易被人猜到,如果有验证码还好,没有验证码的就可以采取暴力破坏,那么进去以后就可以添加删除网站列表。如果后台管理允许上传一些文件的话,我利用你的管理就可以上传木马或者衍生控制等。更危险的是,甚至有人在后台用的都是缺省的口令,这也是比较危险的。
从网站安全问题本身来说主要有三个性质,一个是保密性、一个是完整性、一个是可用性。像基于DNS劫持方式这是网站可用性角度谈的,我们更关注的是它的保密性和完整性。比如保密性,访问者看到不该看到的信息这是保密性被破坏的表现。还有一个是它的完整性,比如通过相应的攻击手段获取一些权限对一些业务都可以改掉,这是对它的完整性的破坏。
所以从这个问题角度来看网站现在主要的问题是影响它的包括性和完整性这两点是目前网站安全面临的两大问题。
主持人:
网站在建设之初就应该考虑到这点,但是现在似乎所有的网站都不怎么安全?
吴海民:
打个比方,网站有点像现实生活中的“公众人物”大家对他的关注度比较高,像明星个人的隐私比如住宅、电话都被公布,网站也受到了关注,被更多人关注就有很多人想通过这个网站获取网站后面的信息。这是网站所处的位置开放性所决定的,它的风险本身就高。
第二,现在有些网站也有一些防护措施,像防火墙,这些是传统的防护手段。确实它能挡住一些基于系统层的攻击,完成系统级的扫描。但是要开放80端口,现在的攻击者研究的是怎么利用合法开的端口做攻击,但是作为网站管理者来说过分迷信了原来传统的安全措施。
第三,网站单位可能对网站的价值并不重视,因为建设网站的成本并不很高。他没有意识到建网站的价值远远不是服务器等带来的价值,而是对外进行的服务这种价值可能他们在被攻击以后才能意识到。
现在很多人从就业形势角度来看懂了基本的编程开发可能就来做网站的建站过程,他并没有受过专业的培训,他的目的就是把网站建起来能够利用起来就可以了。另外网站建站负责人角度来看成本比较低,他不可能把安全做的很充分。如果把安全做的相对比较充分的话你的建站周期会拉的比较长,这对他来说考虑经济因素的话也不会投入很多,这部分是给网站从根上造成了安全的隐患。
再一个现在做编码过程中为了业务需要有第三方的组件,比如从网上下载一些源代码等。这些也包含了已知的漏洞,但是他并不知道,这也是造成不安全因素很重要的原因。
最后一点,从网站所有者来说他的安全投入比较薄弱。我去过一个政府单位,他的网站管理同时也是他们单位的内网管理员每天就是计算机采购、某个人电脑重新装一下,都要占据他的大量时间,这样他在网站上投入的时间就非常有限。这种情况要求他对网站进行全面的了解,包括学习网站的安全知识也不太现实。
主持人:
这么长时间以来觉得中国国内对网站安全意识确实薄弱。
吴海民:
国外有专门的安全管理员也有网站的管理员。
主持人:
无利不起早,既然网站存在这么多的安全隐患那么发起攻击这么人是为了什么呢?
吴海民:
因为网络看上去是虚拟世界,它是现实生活在上面的投影。网站场也存在着名利场,以前攻击可能以出名为主,现在都是利益驱动。其实现在这块也有一个产业链有统计说每年金额达到几十亿到几百亿,他们也是分工协作有做木马的,有做入侵攻击的,现在它是有组织化的行为。现在商业化竞争越来越激烈,从商业竞争层面来看比如我们两家是同行,客户群固定那么多,你上去可能我的业绩下来了,这种情况当然对于网上交易网站来说更多了。这种情况我可能会专门雇佣这方面的人对对手的网站进行攻击。不管是名义上还是经济上都会给他带相应的损失,我可能会获取更多的利益。
第三,在互联网层面攻击有太多现成的免费的工具,风险比较小。因为网络受到攻击以后不像现实中,现实中偷了钱可能会报案。网络攻击总觉得自认倒霉,下一次通过什么方式注意,所以黑客风险比较小。现在通过公安抓到这方面的犯罪人在增加,但是这跟整个做这个行业的群体来看比例是非常小的,所以风险是比较小。
还有一个层面就是黑客的年轻化。说实在老一批的黑客都已经转向做安全了,现在信息化爆炸,可能像我们这个年纪很早的时候还没有接触计算机,现在中学生就开始接触计算机了。这些人心智没有成熟之前可能把黑客攻击作为乐趣,无所顾忌,这也是大量攻击出现的原因。当然了危险最大的还是群体化的黑客组织。
主持人:
最大的危害还是黑客产业其次才是商业竞争,白菜工作室。
吴海民:
因为考虑经济利益层面和其他层面,这个比例占的是最高的。因为人作为攻击者,通过这些手段获取暴利的经济利益,可能比现实生活中比做正常工作来的快,风险还小,还不怎么太累有点像一本万利。
主持人:
现在网络的法律很不健全大家没有这个意识。现实生活中谁要偷我钱我肯定会报案,网络可能黑就黑了。很多人在网上用网络银行发现被黑了,他找谁,取证也比较困难。
吴海民:
对。而且在网上发求助信息的话很也多说只能加强自己的防病毒意识。实际上关键点网站管理员要担负好责任,不要把你的网站当成更多这样攻击的途径。这也是我们今天讨论网站安全话题很有意义的点。
主持人:
网站管理应该提高更大的安全意识。
吴海民:
这个责任我们不能仅仅把他分在站长、管理员的角度,更需要政府机关、企业的主要负责人给他们提供更好的条件,让他有能力、有时间、有精力弄好这个网站。这个网站是一个组织绝不是仅仅靠个人的能力就能安全的。
主持人:
前一阵影响比较大的事情是某些高校网页被篡改,冒充学校领导人写的信。那么今年还有哪些安全性比较有代表性的安全事件呢?
吴海民:
安全事件有一个特点,当现实生活中某些热点事件的时候,比如三氯氢氨这个事情,可能对国民情绪伤害很大,有些人想发泄攻击了一下情有可原。那段时间肯定关注这个,这时候三鹿被黑,可能这个已经开始谋利了,不仅仅是发泄了,这是假借焦点祸害他人。也可以反应出来三鹿这样的大企业也没有很注意安全的问题。这是一个很小的一件事情但是代表了企业管理制度是否严谨,如果一个网站作为门脸都被人攻击了,那怎么能相信你们这个企业的产品呢。
主持人:
所以所有的大型公司不要省这个钱。
吴海民:
还有一些有经济实力的包括VERY CD也被人挂了,这是互联网企业这块还是应该值得注意的,因为毕竟是互联网公司要更注意安全。
再一个很多是政府网站标上了被挂马。我曾经关注过一个网站长达一个月的时间被挂马,可能是他的关注程度有关。比如你的网站在做政府的绩效评估,除了内容要及时发布,还要保证网站访问的可用性,不能说到这个网站来看新的通知结果我的主机却因为访问了你遭到了攻击,那政府的公信力在哪儿。所以这类网站更应该注意安全的问题。
主持人:
通过搜索可以搜索到一些网站是否挂马,Google是怎么做的呢?
吴海民:
一方面是拿到网页以后回去做分析,这种原理是后台有一个大的数据库,可能存了一些样本。然后通过搜索引擎把这个网站爬过去以后和后台比对,当发现有挂马样本的时候会在做搜索的时候提示你可能这个网站已经被挂马了。但是不能指望让一个搜索引擎企业提醒,因为你一旦被它收录进去的话,那这个企业就无法通过搜索引擎的入口进入,这对你的信誉是非常大的影响,有这样的记录以后以后再申请介入很长时间,而且这个机制是事后的处理,对网站管理来说不应该指望由搜索引擎帮你发现这个问题。网站管理员可能指望网民给你报,但是网民在你这儿受了攻击,还可能给你报吗。
我们还需要对网站进行聚焦式的检查,就是这个网站所有页面的内容希望能够有一个定期的机制对我进行全面的搜索,这是对我了解的彻底性,相当于做了一个彻底体检。
主持人:
我要想做“这种体检”的话应该是怎样的流程?
吴海民:
首先提交域名,然后确定检查周期,然后双方签订服务协议,如果只是一次的检查就做一次,如果长期的话我们会给客户做计划表。会告诉你什么时间做相应的检测。到了我们内部服务操作领域来说,首先我们会通过专业的排除工具将你的页面梳理一遍,然后把它放在模拟环境中去看,模拟网民在访问过程中有没有异常行为。发现异常行为会记录下来。不是所有异常行为都是挂马,你在做这种服务的时候一定要保证专业性和真实性。我们后面会有员工和专家分析,会校验和判断。
第二,我们会用专用的工具对你的网站进行构件不同的验证和检查,检查完了也会产生相应的结果。我们网站安全专家也会对结果做甄别。因为毕竟工具有一些局限的地方,我们利用这个工具把工具结果查回来以后对它进行分析,我们分析这个是不是注入点,利用这个注入入侵达到什么样的结果,这都需要有经验的专家在后台技术层面进行深入的分析。分析完了以后最后汇总一个完整报告,这个报会明确告诉你说你的网站目前安全状况什么样。如果有安全问题会存在哪几个具体的点?针对这些安全问题可能会提供什么样的安全建议,以及后续的预防措施。这就相当于我到了一个专业的“体检医院做一个全面检查”一样。
主持人:
一个中型网站要做这样一次“体检”大概多长时间?
吴海民:
这点来说取决于网站的大小,页面的多少。一般来说做一个网站做这样一个“体检”两到三天就可以。再加上后面的专家校验,再加上后面的报告要花点时间。
主持人:
搜狐这样的大网站做“体检”要多长时间?
吴海民:
这个难度比较高,一个是页面确实比较大,咱们这个可以对重点区域做检查。搜狐是门户网站确实比较大,做起来代表性比较高一些。
主持人:
有一些网站更新频率比较高,每天有新的文章和视频推上去。做体检的时候是只能对已有的进行检查,时实更新的无法检查了?
吴海民:
对。从网站角度来看保证的是在这段时间内的状况。如果要对网站关注的话长期监测的话,这个网站安全性可能就更好评价了。而且这是有调整的敏感区域我们可以作为重点,做检查的要做多次检查,检查的时候只能做当前的状态。这毕竟比你不做这个事情要提高很多,至少对安全的状况有了起码的了解。
主持人:
当网站做“体检”的时候,正好在这个时间内不要让新的危险出现怎么做呢?
吴海民:
比如我们现在有专门针对WEB防御的工具,相当于在WEB服务器上架一道门。实际上也是模拟后台WEB服务器的环境,做诊断。当网站存在漏洞,短时间内没有办法及时修复的话可以通过架设专门的防护罩,但这是基于WEB防御的产品。因为这是基于行为的防御,能够很有效的挡住攻击。但是比如后台管理员密码不去改的话,这是管理配置上的问题也需要加强。
网友:
请问吴总您对百度被挂马怎么看?
吴海民:
它被挂马的地方可能是帖吧、或者交互这类地方。我想百度这么大一个网站整体结构上安全性是有一定保障的。但是某些区域可能没有限制用户提交检查。对这些敏感区域做检查体检扫描也是能发现异常行为的。但是从防范角度来讲,百度也是有力量能做好这个事情的。
主持人:
这也给我们提了一个醒,像百度这样大网站在有新的应用出现的时候在衔接过程中可能就被黑客攻击了。
吴海民:
比如有游戏类的网站主网站也没有问题,中间有一部分新闻公告用到了数据库这块可能就存在漏洞。
主持人:
我们做完网站“安全体检”以后,除了体检报告还能加什么东西呢?
吴海民:
报告只是最终形式的表现,主要是在报告中提供了反馈,我们可以在平时过程中进行交流。你有问题也可以发过来,网站没有问题的时候要防范,你也可以反馈我们有专家可以给你答复。
另外,通过这种报告建立起和安全企业之间的联系。通过这种报告可以检查你已有的防范措施是否起到作用?这对你的安全投资选择也是起到一个比较好的指导作用。从目前来看这是增强企业安全意识的体现。如果有了这样一个报告拿给领导看,原先可能说安全投入少你没有办法证明,那么通过这个体检报告至少你可以谈从安全角度发现了这么多的问题,我想领导也会给网站安全管理更大的支持。
主持人:
做完“体检”之后我可能直接找您帮我把问题治好。
吴海民:
体检服务是帮你认知当前存在什么问题。专业化公司除了有这个体检的团队还能帮你加固,建立安全的方案。前面的服务是面向普通的,收费相对比较低,后面这些服务我们可以更专业化,能够让你不但知道问题,还要解决问题。甚至长期建立跟安全公司的联系,甚至可以帮你监控,做相应的防护。这个服务是一体化的,总体来说是提供“安心”服务,是要不断加强。不同等级的人可以选择不同的服务,后面还有更专业的服务,可能保障你的网站安全进一步得到提升。
网友:
我们怎么彻底防止被挂马?
主持人:
保护网站安全也简单介绍一吧?
吴海民:
网站领域其实就是PDR模型。检测现在是对网站更关注的,防护一定是有针对性的还有响应,比如定期的备份以及在管理配置方面相应的不要用常见的敏感信息、这些对网站来说都是一个提升。我们只要做到不断提升的话那么网站安全系数会增加,当然绝对的安全确实很难做到,因为确实现在技术进步太快。要加强学习吧,保持关注。
主持人:
最后请吴总给我们做一个预测,09年网站安全发展会有什么趋势?尤其在全球金融危机的大环境下?
吴海民:
金融危机影响确实比较大,比如企业为了降低成本很可能把原来线下的销售移到线上,新的变化必然带来网站不安全的因素。因为变化往往会带来不安全。这样为了吸引用户,用户和网站之间的交互也会带来更多的不安全性。应用软件层出不穷,作为攻击不会停下脚步,势必会对新的漏洞、新的系统进行攻击。这种情况下我预测09年一方面是网络安全事件不可避免还会有上升的趋势。
但是,安全厂商在努力,通过媒体教育提升防范的意识。我们希望尽量把损失降低到最小,再一个,国家08年奥运保障网络安全这块相对比较成功。生活上奥运期间空气好了,现在每周有一天不能开车,我相信国家这方面也会出台新的措施,这些措施也会促进单位负责人对网络安全更加重视。当然从云安全角度来说也会提升普通网民的安全意识。
虽然我们看到了威胁的变化,但是我们大家共同关注网站安全话题的话,我觉得我们还是能尽最大的努力保证安全的。
主持人:
09年会是网络更加快速发展的一年,网络安全负担可能更重,这种情况下需要全民努力,不能说每个人都安全。也希望大家能够理解或者尊重受害者,因为他们为我们以身试漏洞了,我们要及时吸取教训把漏洞都补上。欢迎大家稍后继续关注我们的“网站体检”话题,特别是在社区提出网站体检需求的朋友,我们有抢先适试用的环节。非常感谢吴总今天的到来,也谢谢各位网友参加本次的聊天话题,这次聊天到此结束,谢谢大家!
吴海民:
谢谢各位网友!
扫一扫
5103
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
