隨著中國信息化建設的高速發(fā)展，中國已經(jīng)發(fā)展成全球第二大的互聯(lián)網(wǎng)用戶，也帶來了互聯(lián)網(wǎng)網(wǎng)站的高速發(fā)展。當前的互聯(lián)網(wǎng)網(wǎng)站已經(jīng)成為信息傳播、流通、交換及存儲的重要手段。政府部門的信息化建設，使得電子政務的加速增長，越來越多的傳統(tǒng)辦公業(yè)務轉(zhuǎn)變成依懶互聯(lián)網(wǎng)的網(wǎng)站業(yè)務。企業(yè)的B2B、B2C業(yè)務的發(fā)展更多地依靠于網(wǎng)站業(yè)務的正常運行。各大商業(yè)銀行為了方便業(yè)務的開展，依懶于網(wǎng)站提供更多的在線服務方式。隨著網(wǎng)站與網(wǎng)頁數(shù)的與日俱增，Web安全問題變得更為嚴峻。由于互聯(lián)網(wǎng)網(wǎng)站處于全天候的開放狀態(tài)，而承載網(wǎng)站的應用程序具有自身無法完全克服的Web安全漏洞問題，這就為黑客的入侵提供了可乘之機。

互聯(lián)網(wǎng)網(wǎng)站與網(wǎng)頁存在一些安全問題，比如網(wǎng)站服務器易出現(xiàn)的以下問題：

◆網(wǎng)站腳本程序的Web安全問題檢測，如網(wǎng)站的默認數(shù)據(jù)庫，默認管理帳號(admin，root，manager等);

◆網(wǎng)站程序設計存在的Web安全問題檢測，網(wǎng)站程序設計者在編寫時，對相關的安全問題沒有做適當?shù)奶幚?，如SQL注入，上傳漏洞，腳本跨站執(zhí)行等;

◆服務器配置不當，安全策略設置存在缺陷，可導致產(chǎn)品被入侵的問題檢測;

◆應用服務權(quán)限設置導致系統(tǒng)被入侵的問題檢測;

◆系統(tǒng)和服務的補丁未升級導致系統(tǒng)可被入侵的Web安全檢測等。

利用網(wǎng)站的安全漏洞，尤其是Web應用程序漏洞：如SQL 注入等，黑客能夠得到 Web 服務器的控制權(quán)限，隨意篡改網(wǎng)頁內(nèi)容或竊取重要內(nèi)部數(shù)據(jù)，更為嚴重的則是在網(wǎng)頁中植入惡意代碼，通過"網(wǎng)頁掛馬"感染更多的客戶端用戶。通過這一行為，黑客可以控制網(wǎng)站的訪問者甚至包括網(wǎng)站本單位的人員的計算機，從而實現(xiàn)盜取銀行帳號、內(nèi)部機密信息等各種不可告人的目的。由于網(wǎng)頁木馬制作的簡單性和網(wǎng)絡漏洞存在的必然性，通過網(wǎng)站漏洞進行網(wǎng)頁掛馬已經(jīng)成為當前最流行的網(wǎng)站攻擊方法和最受黑客青睞的木馬散播方式。2007年微軟系統(tǒng)的安全漏洞，以及各種應用軟件存在安全漏洞，如MS06014安全漏洞、MS07004安全漏洞、Open9.0-9.2安全漏洞、PPS安全漏洞、Web迅雷安全漏洞、Ani指針安全漏洞、暴風播放器安全漏洞、JetAudio 7.x安全漏洞、百度插件安全漏洞、PPlive安全漏洞、雅虎安全漏洞、MS07055安全漏洞、迅雷5安全漏洞、超星的安全漏洞等安全漏洞問題。各種漏洞生成的相應的漏洞利用網(wǎng)馬并進行掛馬，使得網(wǎng)頁掛馬事件得到快速的發(fā)展。

網(wǎng)絡信息化建設的不斷發(fā)展、核心應用業(yè)務迅速網(wǎng)絡化以及互聯(lián)網(wǎng)用戶的飛速增長，我們面臨的Web安全威脅也日益增多和復雜。根據(jù)CNCERT的最新統(tǒng)計數(shù)據(jù)，2007年CNCERT共接到網(wǎng)絡安全事件報告4390件。2007年我國大陸被篡改網(wǎng)站總數(shù)達到了61228個，同比增長1.5倍;其中政府網(wǎng)站(.gov.cn)被篡改3407個，占大陸被篡改網(wǎng)站的7%。CNCERT統(tǒng)計顯示，大陸地區(qū)約有4.3萬個IP地址主機被植入木馬，約有362萬個IP地址主機被植入僵尸程序。從以上數(shù)據(jù)可以看出，提高業(yè)務網(wǎng)站的Web安全防護，是保障業(yè)務正常進行的必然前提。

國內(nèi)被篡改的網(wǎng)站為政府、學校、信息綜合門戶、知名企業(yè)等影響力高、受眾面廣的網(wǎng)站，而一些中小企業(yè)的網(wǎng)站更是易被侵入篡改。網(wǎng)站被篡改帶來的不良影響，不僅僅是單位組織的形象和聲譽遭到破壞，而且會直接影響以網(wǎng)站運營為主的業(yè)務，帶來一定的經(jīng)濟上的損失。如何保護網(wǎng)站的安全性，是眾多網(wǎng)站管理員及單位組織關注的事情。除了網(wǎng)絡管理員提供日常管理維護，還需要專業(yè)的安全人員對網(wǎng)站及相關服務器的安全性進行檢測。

網(wǎng)站是否存在Web 應用程序漏洞，往往是被入侵后才能察覺;而網(wǎng)站是否已經(jīng)被掛馬，通常是在被訪問者投訴或被監(jiān)管部門查處才能察覺，但這個時候損失已經(jīng)發(fā)生;如何在攻擊發(fā)動之前主動發(fā)現(xiàn)Web應用程序漏洞以及網(wǎng)站在掛馬發(fā)生之后迅速獲悉，已成為構(gòu)筑Web安全的上上策。目前解決這一問題的通常方式就是網(wǎng)站的運維管理人員購買專業(yè)的Web掃描工具，同時學習專業(yè)的安全知識，并對網(wǎng)站進行常規(guī)掃描、高頻度檢測，但專業(yè)的掃描工具往往不能解決木馬問題，并且開銷巨大，同時面對Web網(wǎng)站復雜的安全需求，也有自身的一些局限性。

【編輯推薦】

1. Anchiva Web應用安全網(wǎng)關
2. Web應用防火墻選購指南
3. Web應用防火墻的功能與價值
4. xss攻擊 Web安全新挑戰(zhàn)
5. 百家爭鳴：web攻擊與web防護