您的位置: 网界网 > 周报全文 > 正文

[周报全文]“白帽”警长 守护Web 2.0安全

2014年02月10日 10:43:22 | 作者:网界网记者 鹿宁宁 | 来源:网界网 | 查看本文手机版

摘要:Web作为互联网的核心,是云计算和移动互联网的最佳载体,因此Web安全也成为互联网公司安全业务中最重要的组成部分。

标签
白帽
Web 2.0

Web作为互联网的核心,是云计算[注]和移动互联网的最佳载体,因此Web安全也成为互联网公司安全业务中最重要的组成部分。如今越来越多的企业努力尝试通过Web应用进行企业自动化办公的改良,通过网络设备传递和存储大量的信息来提高办公效率。但随之而来的Web安全隐患也层出不穷,给企业运营等带来大量不稳定因素,于是关于Web应用安全日益成为互联网时代研究和重视的课题。

Web 2.0 时代新问题

国际权威机构Forrester的统计数据表明,67%的攻击属应用层的攻击。通常,最简单的网页浏览也有可能造成威胁。比如点击了 受感染的网址,或者由于打开的网页上装载有恶意代码,不知不觉便造成了个人账号的丢失,甚至后台服务器系统漏洞的开启。典型的Web攻击手段包括:SQL(注入式攻击),XSS(跨站脚本攻击),网页置换,信息窃取,拒绝服务攻击,僵尸网络,以及多种攻击手段的组合。Web 1.0时代人们更多的是关注服务器端动态脚本的安全问题。比如将一个可执行脚本(Webshell)上传到服务器上,从而获得权限。动态脚本语言的普及,以及Web技术发展初期对安全认知的不足,酿成了很多“血案”,同时也遗留下诸多历史问题。

伴随着Web 2.0的到来,Web攻击的思路从服务器端转向了客户端、浏览器和用户。攻击者天马行空的思路,覆盖了Web的每一个环节,变得更加多样化。Web技术发展到今天,构建出了丰富多彩的互联网。互联网业务的蓬勃发展也催生出了许多新兴的脚本语言,比如Python、Ruby、NodeJS等,敏捷开发成为互联网的主旋律。而手机技术、移动互联网的兴起,也给HTML 5带来了新的机遇和挑战。众所周知,各种应用都是基于代码进行开发的,代码质量直接影响了Web应用的使用效果和安全体验,而独立的安全代码其实是应用安全的重中之重,这就对安全工程师们提出了更高的要求。

白帽子迎来春天

在黑客的世界中,往往用帽子的颜色来比喻黑客的好坏。黑帽子是指利用黑客技术破坏网络,进而开展网络犯罪的群体;而白帽子则是指那些精通安全技术,致力于反黑客领域的专家们,他们一般是企业的安全工程师。然而,“破坏永远比建设容易”,这种局面要如何扭转呢?

通常,白帽子选择的方法是克服某种攻击方法,而非抵御单次的攻击。比如设计一个解决方案,在特定环境下能够抵御所有已知的和未知的SQL Injection问题。假设这个方案的实施周期是3个月,那么执行3个月后,所有的SQL Injection问题都得到了解决,也就意味着黑客再也无法利用SQL Injection这一可能存在的弱点入侵网站了。如果做到了这一点,那么白帽子们就是在SQL Injection的局部对抗中化被动为主动了。但这一切都是理想状态,在现实世界中,存在着各种各样不可回避的问题。白帽子很喜欢一句话:“No Patch for Stupid”。而安全领域也普遍认为:“最大的漏洞就是人”。写得再完美的程序,在有人参与的情况下,依旧会出现各种各样不可预知的意外。例如管理员的密码可能泄露(+本站微信networkworldweixin),程序员可能会关掉安全的配置参数等等。

另一方面,防御技术在不断完善的同时,攻击技术也在不断地发展。白帽子刚把某种漏洞全部堵上,黑帽子转眼又会玩出新花样。互联网技术的发展就是反复的博弈过程。令人欣慰的是,中国的Web安全从最初的一片混沌到之后的乌云漏洞平台(wooyun),再到如今360漏洞报告中心加入成员众多的SRC阵营(Security Response Center,安全应急响应中心),白帽子在2013年可谓岁稔年丰。2013年,腾讯发放了将近150万元的奖励,惠及200多位白帽子。同时,360也抛出了“库带计划”,以现金奖励方式征集开源建站系统漏洞,以帮助软件公司和开发者及时推出漏洞补丁。从安全平民化的进程来看,这是整个中国互联网安全的一大进步。

对于白帽子们来说,资产的利益固然诱人,但随着互联网法律的完善,犯罪成本的增加,互联网公司安全水平的不断提升等情况变化,越来越多的白帽子倾向通过自身掌握的Web安全技能,与各互联网公司建立良好关系,帮助并监督他们安全使用Web。如此,最终受益的是网民,也是整个中国互联网行业。

这是一个最好的时代,也 是一个最坏的时代。随着Web2.0时代的到来,将有更多的白帽子致力于Web安全这一伟大征程。(更多内容详见: http://www.cnw.com.cn/P/5473

参考资料

1.云计算:(Cloud Computing)描述了一种基于互联网的新的IT服务增加、使用和交付模式,通常涉及通过互联网来提供动态易扩展而且经常是虚拟化的资源。云计算是继1980年代大型计算机到...详情>>

[责任编辑:孙可 sun_ke@cnw.com.cn]