2007年7月25日，瑞星公司發(fā)布了《2007上半年中國大陸地區(qū)電腦病毒疫情&互聯(lián)網(wǎng)安全報告》。報告《互聯(lián)網(wǎng)安全威脅分析》部分指出，由于系統(tǒng)漏洞和Web程序安全漏洞帶來的威脅日益嚴重。
一、系統(tǒng)漏洞帶來的安全問題
漏洞是在硬件、軟件、協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上存在的缺陷，它可以使攻擊者能夠在未授權(quán)的情況下訪問或破壞系統(tǒng)。具體舉例來說，比如在Intel Pentium芯片中存在的邏輯錯誤，在Sendmail早期版本中的編程錯誤，在NFS協(xié)議中認證方式上的弱點，在Unix系統(tǒng)管理員設(shè)置匿名Ftp服務(wù)時配置不當?shù)膯栴}，這些都可能被攻擊者使用，威脅到系統(tǒng)的安全。因而這些都可以認為是系統(tǒng)中存在的安全漏洞。
漏洞會影響到很大范圍的軟硬件設(shè)備，包括操作系統(tǒng)本身及其支撐軟件，網(wǎng)絡(luò)客戶和服務(wù)器軟件，網(wǎng)絡(luò)路由器和安全防火墻等。換而言之，在這些不同的軟硬件設(shè)備中都可能存在不同的安全漏洞問題。在不同種類的軟、硬件設(shè)備，同種設(shè)備的不同版本之間，由不同設(shè)備構(gòu)成的不同系統(tǒng)之間，以及同種系統(tǒng)在不同的設(shè)置條件下，都會存在各自不同的安全漏洞問題。
漏洞問題是與時間緊密相關(guān)的。操作系統(tǒng)從發(fā)布的那一天起，隨著用戶的深入使用，系統(tǒng)中存在的漏洞會被不斷暴露出來，這些早先被發(fā)現(xiàn)的漏洞也會不斷被系統(tǒng)供應(yīng)商發(fā)布的補丁軟件修補，或在以后發(fā)布的新版系統(tǒng)中得以糾正。而在新版系統(tǒng)糾正了舊版本中具有漏洞的同時，也會引入一些新的漏洞和錯誤。因而隨著時間的推移，舊的漏洞會不斷消失，新的漏洞會不斷出現(xiàn)。
典型例子：ANI病毒
2007年4月，微軟瀏覽器的“動畫圖標文件棧溢出漏洞”被曝光，其影響包括vista在內(nèi)的windows主流操作系統(tǒng)產(chǎn)品。在微軟發(fā)布補丁之前，利用該漏洞的攻擊方法已經(jīng)在互聯(lián)網(wǎng)上傳播，并且出現(xiàn)了利用該漏洞的“ANI蠕蟲”病毒。
“ANI蠕蟲”病毒的傳播手段和危害方式和臭名昭著的“熊貓燒香”病毒類似，但是由于其使用的是微軟尚未發(fā)布補丁的漏洞進行傳播，具有更強的危害性，瑞星為此發(fā)出2007年第一個“橙色安全警報”（二級）。
微軟內(nèi)部早已接獲存在該漏洞的報告，卻未能及時發(fā)布補丁，類似的已經(jīng)被安全研究人員發(fā)現(xiàn)但微軟沒有提供補丁的安全漏洞并非只有這一個，如果掌握漏洞細節(jié)的不是有良知的安全廠商而是惡意入侵者的話，惡意攻擊行為與蠕蟲便會隨之出現(xiàn)。
事實上，“熊貓燒香”、“ANI蠕蟲”等病毒之所以猖獗，是因為它們充分利用微軟的漏洞，并采用了一些特殊的手段。例如，熊貓燒香會在中毒機器的網(wǎng)頁文件中加入惡意代碼，如果中毒機器正被網(wǎng)絡(luò)編輯使用，則這些文件被上傳到網(wǎng)站之后，就會讓瀏覽網(wǎng)站的人中毒。
由于當時許多門戶網(wǎng)站的編輯使用的電腦也被此病毒感染，導致這些門戶網(wǎng)站帶毒，數(shù)百萬用戶瀏覽網(wǎng)站后中毒。
二、Web程序安全漏洞愈演愈烈
由于Web程序員的疏漏，存在SQL注入漏洞的網(wǎng)站是如此之多，這是當前入侵者入侵服務(wù)器的主要途徑，入侵Web服務(wù)器并竊取機密信息，利用控制的Web服務(wù)器來“掛馬”的行為大都通過SQL注入攻擊來進行。
2007年7月初，一個沙特阿拉伯的少年黑客成功侵入微軟英國網(wǎng)站，貼上一幅兒童搖沙特阿拉伯國國旗的照片,把網(wǎng)站上原來的內(nèi)容覆蓋掉。這個黑客入侵利用的就是SQL注入漏洞。顯然，不單單是微軟，大多數(shù)使用數(shù)據(jù)庫的網(wǎng)站都面臨這一威脅。
除了SQL注入漏洞以外，XSS跨站腳本攻擊也有愈演愈烈的趨勢，由于往年對XSS漏洞不夠重視，大量的大型網(wǎng)站存在該問題，利用XSS漏洞進行攻擊在結(jié)合“社會公程學”手段以及方便的即時通訊軟件后產(chǎn)生巨大的危害。
病毒制造者侵入帶有XSS漏洞的大型網(wǎng)站，植入病毒，將網(wǎng)站鏈接通過IM軟件傳播,即可導致大量用戶上當并感染病毒。由于這些大型網(wǎng)站被多數(shù)用戶信任，使得用戶更有可能受到欺騙，訪問這些帶毒網(wǎng)站后中毒。
許多大型網(wǎng)站，包括MySpace、谷歌和雅虎都曾經(jīng)吃過XSS漏洞的苦頭，隨著Web2.0的流行，網(wǎng)站上可以插入腳本的地方如此之多，眾多初創(chuàng)的Web2.0站點忙于發(fā)展，不愿意在安全問題上花費更多的時間，這使那些熱門網(wǎng)站成為黑客最容易利用的互聯(lián)網(wǎng)軟肋。

標簽： web服務(wù)器 安全 代碼 防火墻 服務(wù)器 服務(wù)器軟件 谷歌 互聯(lián)網(wǎng) 互聯(lián)網(wǎng)安全 腳本 漏洞 數(shù)據(jù)庫 網(wǎng)絡(luò)

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。