风险来自哪里?
事实上,为了保障数据的安全和用户的隐私权,很早纳斯达克便建立了以防火墙及安全访问管理机制为核心的安全体系。然而,现有的安全防护措施主要通过SSL安全代理、防火墙、IDS/IPS 、软件防火墙或是防病毒等工具来解决问题。由于这些安全防护措施自身的局限性,导致网站难于应对日新月异的安全攻击,特别是目前基于正常WEB访问而发起的WEB应用攻击手段。所以,像纳斯达克这类安全体系相对健全的网站,近年来也免不了不断遭遇安全攻击。
据梭子鱼相关技术人员介绍,Web应用的安全风险当前要远远大于人们过去的认知。首先在服务器端,黑客往往会利用支付或者查询系统自身存在的安全漏洞来侵入系统。比如,基于WEB应用的SQL注入攻击,基于数据库应用的OracleLinstener攻击,以及基于操作系统的缓冲区溢出攻击等方式,早已成为黑客集团的惯用伎俩。
此外,SSL安全代理主要依赖的是浏览器的正确实现以及服务器软件和实际加密算法的支持,对于现在的一些攻击手段,如跨站攻击、SQL注入以及数据监听等,SSL从技术上来讲是无可奈何的。
而传统防火墙只能检测网络层的攻击,根本无法阻拦来自网络内部的非法操作,更无法动态识别或自适应地调整规则。而编程习惯造成的众多漏洞,更是等于为黑客敞开了通向网站"金库"的大门。
"由于技术局限性,大多IDS产品也只能进行已知的特征检测。由于这类设备对数据层的信息缺乏深度分析,本身的误报、漏报率就很高,使得IPS的处理效率低下,同时它也没有对Session或User的跟踪,根本不能保护SSL流量。"梭子鱼技术人员告诉记者。
再者,不管是防病毒软件还是防火墙,采用的都是被动检测机制,它们只能检测到已知的病毒或木马,对于外部的正常访问请求更是无法识别,所以基于这两类安全工具构建的网站安全体系,根本无法实现对合法访问的"筛选"。
其次在客户端,大多用户的个人电脑其实也并不安全。用户对网络风险的不警觉以及用户个人账号密码存放的不安全,都可能导致恶意攻击者,利用远程木马或是钓鱼网站获取用户的个人账号及密码,最终损害客户的直接利益。
所以,Web安全问题近些年已成为交易类网站的最大风险源,而且有逐年飞速增长的势头。