F5中国技术总监吴静涛:讲述WEB应用攻防之道
内容提示:随着企业和政府越来越多的业务系统采用基于WEB服务方式,为用户提供方便快捷的同时,也带来了前所未有的巨大安全风险。不仅政府网站,近年来各种web网站攻击事件也是频频发生, SQL注入攻击,页面被篡改、信息失窃、甚至被利用成传播木马的载体……那么在威胁不断加重的Web安全面前,我们应该如何应对?我们有幸请来了F5中国区技术总监吴静涛先生为我们解答。
web应用攻击的危害及攻击特点
web 服务器是必经的大门,web 开发的团队技术实力的参差不齐,并非都是“专业型”的高手,编程不规范、安全意识不强,导致为黑客大开方便之门。
吴静涛说:“近年来web 安全漏洞被黑客关注和利用,成为了攻击的主流。使很多网站都深受其害。很多政府、企业、银行等部门对外的窗口和实施电子政务、电子商务的重要平台,也由于web 应用漏洞引起的安全问题被黑客篡改页面、信息失窃、甚至被利用成传播木马的载体,直接影响政府和企业的形象和声誉,这些危害都是毁灭性的。”
Web网站的安全事件频频发生,究其根源,关键原因有二:一是web 网站自身存在技术上的安全漏洞和安全隐患;二是相关的防护设备和防护手段欠缺。
吴静涛表示,以前黑客经常使用DDOS攻击都可以让网站瘫痪,也可能是黑客在显示他的技术高超。但是,近年来随着WEB漏洞引起黑客的关注和利用,这种局面正在改变。现在黑客通常会选择WEB应用程序来实施攻击,如SQL注入攻击、跨站脚本攻击和其它web 漏洞的利用。
利用网站的安全漏洞,尤其是web应用程序漏洞:如SQL 注入等,黑客能够得到web 服务器的控制权限,随意篡改网页内容或窃取重要内部数据,更为严重的则是在网页中植入恶意代码,通过“网页挂马”感染更多的客户端用户。