近年来,Web网站篡改和挂马逐渐成为黑客攻击门户网站的主要手段。
据CNCERT监测报告显示,2009年,中国大陆有4.2万网站被黑客篡改!而另一种攻击手法——网页挂马仍然是黑客地下产业链的重要一环。各类操作系统和应用软件安全漏洞的披露以及网络热点事件、搜索热词的出现,都是黑客进行网页挂马的“契机”。
随着高校招生网络宣传工作的逐步展开,高校网站已经逐渐成为黑客关注的重点目标,而高校网络中心也将把网站安全工作提到了最高等级。但依然让人心有余悸的是,2010年高考前夕,5月14日一天之内,全国128所高校被集体挂马,其中不乏重点大学,这一数字已经超过2009年全年挂马数,黑客活动可谓日趋猖獗。而再早之前的2009年10月国庆60周年期间,中国大陆被篡改的网页有5793个,达到全年峰值。
传统防护 形同虚设
王立军作为一家高校网站的管理员,令他常常疑惑不解的是,明明自家的网站已经启用了安全防护机制,防火墙、IDS/IPS等安全设备一应俱全,为何还会轻而易举地就被黑客攻破?
对此,锐捷网络出口与安全产品专家给予了详细的解释:“虽然从表面上看,现有的安全设备都具有网站防护功能,但实际上,这种传统网站防护机制从防御手段来说,还存在着一些漏洞,给了黑客可乘之机!”
据锐捷网络出口与安全产品专家介绍,目前网站最常用的防御手段包括:防火墙、IDS/IPS、网页防篡改软件(部分单位自己开发),但是,上述三个手段存在不同的漏洞:
1、防火墙:不能防御通过80端口的HTTP攻击。防火墙基于访问控制实现,而要提供Web服务必须放行80端口。
2、IDS/IPS:不能保护客户自己编写的网站代码。IDS/IPS基于特征码识别,所谓特征码即针对Windows操作系统、Oracle数据库、IIS等通用系统的定期补丁;而客户的网站代码是自己编写的,没有人为其发布补丁。
3、网页防篡改软件:网站仍然可能被黑、不能通过合规性检查、部署复杂度高。
1)事后恢复治标不治本,可能再次被黑:目前针对中国网站的攻击,大量是通过工具的自动化攻击,只能事后恢复,无法避免连续被黑,最终对外体现的始终是被黑页面;而且一旦被黑就可能被搜索引擎抓取快照,影响已经传播出去了。
2)无法通过合规性检查需要:公安及上级机关检查网站安全,检查组一般采用漏洞扫描、攻击探测等手段,这种手段网页防篡改软件是无法发现的;即使能事后恢复,但是无法通过检查。
3)不能保护动态页面:网页防篡改软件的工作原理是对页面内容进行比对,发现变化则进行恢复;但是目前大部分网页使用的是SQL语句、动态脚本的动态页面;对于这种页面,每次显示的内容本身是不断变化的,无法进行比对。
4)部署复杂度高,可能引入安全性问题:要使网页防篡改软件起作用,需要把软件与网站代码整合起来方能进行工作,实施的复杂度相对较高;同时允许软件厂商修改网站代码,也可能带来信息安全隐患。