2007年7月25日，瑞星公司發(fā)布了《2007上半年中國(guó)大陸地區(qū)電腦病毒疫情&互聯(lián)網(wǎng)安全報(bào)告》。報(bào)告《互聯(lián)網(wǎng)安全威脅分析》部分指出，由于系統(tǒng)漏洞和Web程序安全漏洞帶來(lái)的威脅日益嚴(yán)重。
一、系統(tǒng)漏洞帶來(lái)的安全問(wèn)題
漏洞是在硬件、軟件、協(xié)議的具體實(shí)現(xiàn)或系統(tǒng)安全策略上存在的缺陷，它可以使攻擊者能夠在未授權(quán)的情況下訪(fǎng)問(wèn)或破壞系統(tǒng)。具體舉例來(lái)說(shuō)，比如在Intel Pentium芯片中存在的邏輯錯(cuò)誤，在Sendmail早期版本中的編程錯(cuò)誤，在NFS協(xié)議中認(rèn)證方式上的弱點(diǎn)，在Unix系統(tǒng)管理員設(shè)置匿名Ftp服務(wù)時(shí)配置不當(dāng)?shù)膯?wèn)題，這些都可能被攻擊者使用，威脅到系統(tǒng)的安全。因而這些都可以認(rèn)為是系統(tǒng)中存在的安全漏洞。
漏洞會(huì)影響到很大范圍的軟硬件設(shè)備，包括操作系統(tǒng)本身及其支撐軟件，網(wǎng)絡(luò)客戶(hù)和服務(wù)器軟件，網(wǎng)絡(luò)路由器和安全防火墻等。換而言之，在這些不同的軟硬件設(shè)備中都可能存在不同的安全漏洞問(wèn)題。在不同種類(lèi)的軟、硬件設(shè)備，同種設(shè)備的不同版本之間，由不同設(shè)備構(gòu)成的不同系統(tǒng)之間，以及同種系統(tǒng)在不同的設(shè)置條件下，都會(huì)存在各自不同的安全漏洞問(wèn)題。
漏洞問(wèn)題是與時(shí)間緊密相關(guān)的。操作系統(tǒng)從發(fā)布的那一天起，隨著用戶(hù)的深入使用，系統(tǒng)中存在的漏洞會(huì)被不斷暴露出來(lái)，這些早先被發(fā)現(xiàn)的漏洞也會(huì)不斷被系統(tǒng)供應(yīng)商發(fā)布的補(bǔ)丁軟件修補(bǔ)，或在以后發(fā)布的新版系統(tǒng)中得以糾正。而在新版系統(tǒng)糾正了舊版本中具有漏洞的同時(shí)，也會(huì)引入一些新的漏洞和錯(cuò)誤。因而隨著時(shí)間的推移，舊的漏洞會(huì)不斷消失，新的漏洞會(huì)不斷出現(xiàn)。
典型例子：ANI病毒
2007年4月，微軟瀏覽器的“動(dòng)畫(huà)圖標(biāo)文件棧溢出漏洞”被曝光，其影響包括vista在內(nèi)的windows主流操作系統(tǒng)產(chǎn)品。在微軟發(fā)布補(bǔ)丁之前，利用該漏洞的攻擊方法已經(jīng)在互聯(lián)網(wǎng)上傳播，并且出現(xiàn)了利用該漏洞的“ANI蠕蟲(chóng)”病毒。
“ANI蠕蟲(chóng)”病毒的傳播手段和危害方式和臭名昭著的“熊貓燒香”病毒類(lèi)似，但是由于其使用的是微軟尚未發(fā)布補(bǔ)丁的漏洞進(jìn)行傳播，具有更強(qiáng)的危害性，瑞星為此發(fā)出2007年第一個(gè)“橙色安全警報(bào)”（二級(jí)）。
微軟內(nèi)部早已接獲存在該漏洞的報(bào)告，卻未能及時(shí)發(fā)布補(bǔ)丁，類(lèi)似的已經(jīng)被安全研究人員發(fā)現(xiàn)但微軟沒(méi)有提供補(bǔ)丁的安全漏洞并非只有這一個(gè)，如果掌握漏洞細(xì)節(jié)的不是有良知的安全廠(chǎng)商而是惡意入侵者的話(huà)，惡意攻擊行為與蠕蟲(chóng)便會(huì)隨之出現(xiàn)。
事實(shí)上，“熊貓燒香”、“ANI蠕蟲(chóng)”等病毒之所以猖獗，是因?yàn)樗鼈兂浞掷�用微軟的漏洞，并采用了一些特殊的手段。例如，熊貓燒香�?huì)在中毒機(jī)器的網(wǎng)頁(yè)文件中加入惡意代碼，如果中毒機(jī)器正被網(wǎng)絡(luò)編輯使用，則這些文件被上傳到網(wǎng)站之后，就會(huì)讓瀏覽網(wǎng)站的人中毒。
由于當(dāng)時(shí)許多門(mén)戶(hù)網(wǎng)站的編輯使用的電腦也被此病毒感染，導(dǎo)致這些門(mén)戶(hù)網(wǎng)站帶毒，數(shù)百萬(wàn)用戶(hù)瀏覽網(wǎng)站后中毒。
二、Web程序安全漏洞愈演愈烈
由于Web程序員的疏漏，存在SQL注入漏洞的網(wǎng)站是如此之多，這是當(dāng)前入侵者入侵服務(wù)器的主要途徑，入侵Web服務(wù)器并竊取機(jī)密信息，利用控制的Web服務(wù)器來(lái)“掛馬”的行為大都通過(guò)SQL注入攻擊來(lái)進(jìn)行。
2007年7月初，一個(gè)沙特阿拉伯的少年黑客成功侵入微軟英國(guó)網(wǎng)站，貼上一幅兒童搖沙特阿拉伯國(guó)國(guó)旗的照片,把網(wǎng)站上原來(lái)的內(nèi)容覆蓋掉。這個(gè)黑客入侵利用的就是SQL注入漏洞。顯然，不單單是微軟，大多數(shù)使用數(shù)據(jù)庫(kù)的網(wǎng)站都面臨這一威脅。
除了SQL注入漏洞以外，XSS跨站腳本攻擊也有愈演愈烈的趨勢(shì)，由于往年對(duì)XSS漏洞不夠重視，大量的大型網(wǎng)站存在該問(wèn)題，利用XSS漏洞進(jìn)行攻擊在結(jié)合“社會(huì)公程學(xué)”手段以及方便的即時(shí)通訊軟件后產(chǎn)生巨大的危害。
病毒制造者侵入帶有XSS漏洞的大型網(wǎng)站，植入病毒，將網(wǎng)站鏈接通過(guò)IM軟件傳播,即可導(dǎo)致大量用戶(hù)上當(dāng)并感染病毒。由于這些大型網(wǎng)站被多數(shù)用戶(hù)信任，使得用戶(hù)更有可能受到欺騙，訪(fǎng)問(wèn)這些帶毒網(wǎng)站后中毒。
許多大型網(wǎng)站，包括MySpace、谷歌和雅虎都曾經(jīng)吃過(guò)XSS漏洞的苦頭，隨著Web2.0的流行，網(wǎng)站上可以插入腳本的地方如此之多，眾多初創(chuàng)的Web2.0站點(diǎn)忙于發(fā)展，不愿意在安全問(wèn)題上花費(fèi)更多的時(shí)間，這使那些熱門(mén)網(wǎng)站成為黑客最容易利用的互聯(lián)網(wǎng)軟肋。

標(biāo)簽： web服務(wù)器 安全 代碼 防火墻 服務(wù)器 服務(wù)器軟件 谷歌 互聯(lián)網(wǎng) 互聯(lián)網(wǎng)安全 腳本 漏洞 數(shù)據(jù)庫(kù) 網(wǎng)絡(luò)

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀(guān)點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。