【51CTO.com 獨家報道】2010年10月22日消息，盛大的OWASP大會終于在京召開。當然也少不了各位安全領(lǐng)域的各位高手的演講。其中就有安恒信息的范淵為我們演講。51CTO作為特邀媒體，將會全程跟蹤報道，有關(guān)OWASP會議詳細情況請瀏覽51CTO OWASP 2010中國峰會專題報道。下面是范淵的演講實錄：

范淵：各位嘉賓、各位朋友，大家上午好！

范淵：其實講安全應(yīng)該從05年開始，05年我在美國有一個演講，就是在關(guān)于WEB安全的日常檢測。從06年開始攻擊事件急速的增加，在中國被篡改網(wǎng)站的數(shù)量也急劇增加。而且這里面一個很重要的特點是從七八年前會出現(xiàn)有人會炫耀，其實那個時候黑客產(chǎn)業(yè)鏈這一塊開始浮出水面。06年大家開始關(guān)注取證式的WEB應(yīng)用弱點掃描，等一下我會講到這個歷程，比如安全開發(fā)、安全開發(fā)、安全部署等一系列安全體系構(gòu)成了我們WEB應(yīng)用安全的整體。07年是WEB2.0這樣的名字開始大量出現(xiàn)，實際當時使用WEB2.0的還不是很多，包括國外的社區(qū)和國內(nèi)都出現(xiàn)類似利用跨站，WEB安全漏洞給人家很多在視覺和信用上的傳播。

[[16398]]

范淵講道：黑客產(chǎn)業(yè)鏈這個話題，實際在過去和之前大家都收到過很多郵件，通過欺騙希望你點擊以后中招，但是后來慢慢發(fā)展到郵件和在線的交談依然是一個媒體，但是這個媒體主要是送給你一個（英文），利用這個使你掛馬，達到它間接的攻擊，而且這個攻擊的隱蔽性非常強，它的效果非常好。因為黑客產(chǎn)業(yè)鏈必然以經(jīng)濟為基礎(chǔ)，所以它需要追求用最低的成本達到最大的效益和最好的效果。每天有幾十萬訪問量的網(wǎng)站和在線業(yè)務(wù)，比如網(wǎng)上營業(yè)廳、網(wǎng)上銀行，所有這些必然會成為它最直接可以利用的途徑。當然這里面很復(fù)雜，而且他們有控制人、有買賣，有地下交易，還有洗錢，這些都可能在不同的國家發(fā)生。

范淵說：08年里程碑的事件是奧運會是非常成功的盛會，但是其實它背后有很多故事，我是奧組委安全專家組的成員，在奧運大廈有好多次討論相關(guān)的攻擊防范，實際在奧運會開幕前的說十個月我們已經(jīng)開始對奧組委相關(guān)的網(wǎng)站進行相應(yīng)的加固，實際奧組委網(wǎng)站改版很多次，但是大家可能沒有意識到。這當中也發(fā)生很多有意思的事情，奧運會這次給大家的最大的好處就是在于安全意識的提高，這個跟我們OWASP講的精神也一樣。

范淵還說：08年還有一件很重要的事情，就是群注風(fēng)暴，全球大概有10萬個網(wǎng)站被掛馬，它是批量注入，利用應(yīng)用程序的弱點，通過篡改參數(shù)來達到或控制修改后臺數(shù)據(jù)庫，禁止達到控制所有相關(guān)攻擊的目的。那么通過什么來發(fā)現(xiàn)它呢？最簡單的手段就是google，因為它能夠非常高效的告訴你有多少網(wǎng)站。它所達到的效果是對于后臺所有字符型的字段里面插入一段惡意代碼，這段小的腳本就在這里，這段腳本達到的目的是用戶插入數(shù)據(jù)庫，后臺的數(shù)據(jù)庫因為是動態(tài)頁面，會有動態(tài)的信息展示，展示的過程中任何任何用戶訪問這個網(wǎng)站，它其實就會執(zhí)行這個JS，進而去種植到本地實際上美國有很多資深 的安全公司的資深網(wǎng)站也在這次群注中落馬。當時安全小組發(fā)現(xiàn)一臺肉雞在做這個事情，這段自動化工具寫的比較精悍，但是非常實用，而且大家注意到它用到了一點點的繞過。這個是它的配置文件，非常簡明而實用，高效而實用。因為它是希望能夠更加高效，現(xiàn)成配置這些東西。

范淵說道：經(jīng)過這一年多，我覺得安全的意識大家有很大的提高，到09年時我們在中國有一次標桿性的事件，就是國慶六十周年的安保。國慶六十周年的安保請公安部和通信安全中心對全國的網(wǎng)站進行抽樣，在隨機抽樣的檢測中大概有一半的網(wǎng)站存在嚴重的問題，就是可以隨意的注入畫面等東西。這是一些統(tǒng)計數(shù)據(jù)，注入畫面表單繞過是非常嚴重的，事實上這些數(shù)據(jù)反過來驗證了數(shù)據(jù)的寶貴性和統(tǒng)計的準確性，像注入、跨站這類的問題每年都排在非常前面。在這個過程中發(fā)現(xiàn)有一些網(wǎng)站甚至是已經(jīng)被掛馬或者已經(jīng)被控制。

范淵還講道：到了10年，在WEB安全方面有兩塊大的事情，一類是遠程執(zhí)行任意代碼事件，比如像我們有些網(wǎng)站用BBS等第三方模塊，反過來說明應(yīng)用安全、整體安全一定要提升的。遠程攻擊者可以在這個系統(tǒng)上執(zhí)行任何的命名，這樣它的遠程攻擊的威脅性、嚴重性都是非常明顯的。還有一個漏洞 是。NET的攻擊信泄露漏洞，說到這個想到了實施防范里面的那些原理，其實在攻擊過程當中我們很多時候是利用返回不同的信息達到我們的效果。

范淵最后說道：今年黑帽子大會上有位專家講到云計算是安全的一場惡夢，事實上本身我們自己網(wǎng)絡(luò)內(nèi)的安全都還管不好的情況下，應(yīng)用安全都管不好的情況下，你硬去相信一朵云，這朵云你從來都沒有見過，這塊的挑戰(zhàn)確實是巨大的。還有是手機互聯(lián)網(wǎng)，智能終端又變成受害者之一。核心互聯(lián)網(wǎng)網(wǎng)上的挑戰(zhàn)也會非常嚴峻 ，為什么這樣說呢？現(xiàn)在隨著經(jīng)濟利益的驅(qū)動，其實最好的效果是在于有大量的有價值信息的，比如說網(wǎng)上銀行，比如說網(wǎng)上證券交易，比如說網(wǎng)上營業(yè)廳，比如說電子政務(wù)相關(guān)的一些東西，比如說網(wǎng)游，這些都會成為實際的目標。在這里面的矛與盾始終在對抗，在這當中應(yīng)用安全和數(shù)據(jù)安全的價值會更大的促進體系，因為不管是移動互聯(lián)網(wǎng)還是云計算，不管我們的核心業(yè)務(wù)在外還是在內(nèi)，實際上是應(yīng)用為王、業(yè)務(wù)為王，不可否認的是網(wǎng)絡(luò)站面臨的挑戰(zhàn)依然存在。

范淵：因為時間關(guān)系，主要講到這里，謝謝大家！

【編輯推薦】

1. OWASP 2010中國峰會 現(xiàn)場演講嘉賓介紹
2. OWASP 2010中國峰會現(xiàn)場圖文集錦
3. OWASP召開年度Web安全盛會 解讀應(yīng)用安全趨勢發(fā)展
4. OWASP 2010中國峰會51CTO專題報道