為什么仍然有很多網站漏洞?這是很多用戶關心的問題。

大多數企業(yè)網站的漏洞包含OpenSSL、PHP和WordPress中的漏洞，這些漏洞主要是由于這些開源軟件中存在著大量自定義組合以及缺乏測試和漏洞修復。

[[138088]]

本文中讓我們看看如何從一開始以及整個開發(fā)生命周期中修復這些漏洞。

很多網站的安全漏洞

“很多網站(和Web應用程序)漏洞的主要原因是這些技術完全定制化開發(fā)的性質，”美國國家安全局前情報收集人員、現Masergy Communications公司主管David J. Venable表示，這樣的結果會產生在很大程度上未經測試的網站和應用程序，它們沒有像大多數商業(yè)軟件(例如操作系統(tǒng)和服務器軟件包)經過嚴格的徹底的測試。

事實上，網站和網絡應用程序中的漏洞要比企業(yè)其他地方的漏洞更多。這些安全漏洞包括PHP站點、第三方和自產軟件中的漏洞，WordPress代碼和安裝以及OpenSSL、Single Sign-On及SQL和LDAP部署及技術中的漏洞。

使用第三方軟件的PHP網站存在固有的漏洞，因為第三方應用程序開發(fā)不受企業(yè)的掌控。Berkeley研究公司主管Joe Sremack表示：“你可以設計你的網站，以確保所有自制代碼是完全安全的，但如果你需要使用第三方軟件，那么你就可能引入漏洞。”

WordPress是一個日益嚴重的問題，它有著無數的插件，需要不斷的更新，這給中小型企業(yè)帶來日益嚴重的威脅。Sremack表示：“企業(yè)想要WordPress的功能，但不幸的是，它也帶來風險。”

OpenSSL也面臨相同的問題。隨著人們不斷創(chuàng)新該技術，這些創(chuàng)新帶來新的漏洞，可讓攻擊者發(fā)現和利用。每年攻擊者都會不斷利用OpenSSL漏洞來作為大規(guī)模數據泄露的一部分，很多看似新的漏洞實際上是還未被發(fā)現的舊漏洞。

即使編程者開發(fā)出安全的網站，他們的開發(fā)主要是基于他們已知的漏洞，而不是尚未確認的漏洞，而總是會出現新的漏洞。

注入漏洞仍然很常見，攻擊者已經調整了他們的攻擊方法，以利用日益普及的單點登錄。Sremack解釋說：“單點登錄在酒店里很常見，人們會使用單點登錄來檢查他們的賬戶和積分。新的LDAP注入技術會攻擊漏洞，并傳遞參數到代碼來控制其網絡會話。”

另一個攻擊向量是本地和遠程文件。Sremack稱：“網站的代碼可以調用本地服務器或遠程公共服務器上的文件。通過使用注入技術，攻擊者可以讓網站顯示信息，包括密碼文件或者Web服務器中的用戶名列表，并可以執(zhí)行他們想要運行的代碼。”

修復網站安全漏洞

Venable稱：“企業(yè)必須從開發(fā)過程的最開始就堅持安全最佳做法，例如開放Web應用安全項目(OWASP)的最佳做法。”企業(yè)需要在生產前、代碼變更后進行所有測試，包括應用程序評估、滲透測試以及靜態(tài)分析，至少一年一次。為了實時發(fā)現和緩解攻擊，企業(yè)需要對網站和網絡應用程序部署WAF和IDS，并部署全天候監(jiān)控小組。

Sremack稱：“在開發(fā)過程中，與安全團隊合作來對受影響的代碼和功能執(zhí)行定期測試。”如果企業(yè)在更新當前的網站，應該讓安全團隊測試和確保新增的功能不會帶來漏洞。開發(fā)團隊還應該進行掃描和測試來隔離漏洞和修復漏洞。

Sremack說道：“企業(yè)應該使用攻擊者用來入侵網絡的相同工具，例如Grabber、W3AF和Zed Attack Proxy。”雖然說，任何有著安全知識或安全工具的人都可以利用這些應用程序，基于測試的結果來發(fā)現網站漏洞，但企業(yè)需要安排專門的工作人員來做這個工作。

“開發(fā)人員應該具體看看他們如何創(chuàng)建和維護網絡會話，專門檢查會話通過網站傳輸的輸入，無論是通過網站還是輸入字段，”Sremack稱，“然后監(jiān)測任何第三方代碼中的漏洞，并查看來自供應商的漏洞利用聲明。”

總結

網站越大，其功能和可視性越大，它也會使用更多第三方軟件，同時，減少該網站中固有漏洞的過程也更加昂貴。

企業(yè)必須在一天內多次監(jiān)控和更新網站，以更好地抵御網絡攻擊者。這個過程應該包括變更管理、測試和正確的部署，以及新的專門的安全團隊和指定的測試站點。

網站的功能越豐富，企業(yè)越應該確保網站的安全性。現在也有很多開源免費軟件工具可以幫助開發(fā)人員來了解新的漏洞和威脅。