【IT168 资讯】在企业信息化的过程中，各种业务及IT的应用都架设在了Web平台上，Web业务的迅速发展，引起了黑客们的强烈关注，接踵而至的便是Web的安全问题，更为严重的网站被植入恶意代码，业界对于Web应用安全的关注度也开始逐渐升温。

▲安恒信息总裁范渊演讲

　　以“互联网安全新思维”为主题的OWASP2011亚洲峰会在11月8日-9日成功举办。本届大会以“网络安全产品测评”、“OWASP应用安全技术”“业务安全发展新思路”“云安全”等多个角度展开深入的讨论。会上，安恒信息总裁、OWASP副会长范渊先生为我们介绍了Web安全的今天和明天。

　　范渊首先例举了一些典型的Web安全事件：今年3月份亚马逊被黑客入侵，更糟糕的亚马逊的产品密码被破解，这也是很大的安全意识问题。 索尼的数据服务器被入侵，索尼已经不是第一次发生“被入侵”事件，应用安全的必然跟数据安全、数据泄漏发生必然连接，前端是它最重要的通道，还有内部安全的一块。这是后端数据库的安全，毕竟前端是最重要的之一。谷歌的gmail被攻击，新浪微博被攻击，移动信息被黑客贩卖等等。

　　范渊谈到：“现在的核心业务系统、运营商、金融、政府等等，包括一部分实现到“云”，这块的情况不会安全，这种攻击悄无声息。从今年年初开始，我们的安全小组发现了很多安全漏洞，并且我们第一时间让用户方知晓，在很大程度上避免了很多危害。很多漏洞可以被大规模的漏洞。像腾讯QQ邮箱的跨站，如果这个漏洞被应用的话，我想一天会有几百万的攻击，这是银行类的跨站。客户端越来越强大，客户端内嵌浏览器，它的危害没有一点减少，反而变得更隐蔽。”

　　最近发现某个银行的控件通过ActiveX可以破坏客户端任意文件，可以通过钓鱼或者非钓鱼，只要用户访问的页面或者网站就可以破坏客户端任意文件，这里面会有很多新的攻击方式。如果用户本身有一些敏感配置文件或者你的DBA有自动执行文件，属于能够被覆盖，它产生的危害就非常大。

　　ActiveX控件溢出，我们发现了IBM堆栈溢出。本地的跨站漏洞非常多，就不用说了，软件的信息泄漏，像阿里旺旺开放的Web端口泄漏单点登录信息，当然现在都已经修复了。

　　软件嵌入Web页面存在的安全问题，像盛大ET语音，我讲的这些企业是全球或者全国最大的互联网企业或者最大的云计算之一或者正在成为最大云计算公司之一，这些问题都有共通性，这些厂商安全队伍还是比较强的，更加不要说再往下一级的安全问题。

　　前面已经讲过关于云计算和云安全方面的话题，云计算带来非常新的挑战。我与中科院一个朋友聊的时候，他说你Web安全，云计算和Web天然的融合。云以Web方式提供非常多，云计算体验方式的改变，没有丝毫改变安全方面任何话题，相反使得模糊性更加具有挑战性，在数据这块的安全变得更加严重。网下对于这个审计和监控变得更为严重。

　　从2009年到2010年云计算的事故非常多。像国外的Salesforce.com是最大的云计算的应用，当然它也面临着很大的威胁，正在想着各种的办法解决。2011年的事故也有很多，像谷歌邮箱、亚马逊等安全事故。

　　从Web1.0到2.0攻击隐蔽性更加增强，复杂性，伴随着Web和传统手段的结合，会变得更加有效和复杂。很重要的一点，往下更有聚焦性，以前是广撒网，往下会面临更多的金融、运营商，拥有大量数据价值的地方，不管因为后台黑市产业链的初衷，还是初始的初衷都会成为它的方向。还有智能手机的盛行，这都是更大的挑战。对于安全来说，云安全检测的推出，将会成为必然。

　　最后，范渊表示，核心的互联网面临着严重的挑战，网络银行、网上营业厅、网络购物、网游，它的后台的数据非常有价值，这是它最重要的特点，看一个问题不要忘了它的本质。已有的防御手段越来越多，传统的安全防御体系已经基本失效，应用安全价值和数据安全价值会体现非常明显。

　　相关链接：

　　OWASP2011演讲PPT下载专辑http://topic.it168.com/factory/owasp_2011/index.html
　　OWASP2011专题报道http://safe.it168.com/topic/2011/11-7/OWASP2011/index.html