我的網站安全嗎?
以前我弄過幾個小網站,因爲不牽涉電子商務方面的事情,因此也沒有特別關心過安全問題。後來單位的一個電子商務的網站改版,恰好單位裏面也有一個叫做安全管家的業務。就請安全專家對改版的測試網站做了一次漏洞掃描。掃描下來還真嚇人一跳!漏洞狂多,網絡上提到的sql注入、跨站腳本(XSS)等漏洞一應俱全。在授權的***的情況下,很快就成功***、冒名登錄了。這次***給我的震撼很大。因爲那個網站是要做真正電子商務的,用戶的帳號裏面是有錢的,儘管這些錢只能在我們指定的範圍內消費,即便被盜用了,還是能補救的。但是一個商務網站弄成這個樣子,還是夠後怕的。所幸開發的兄弟們收到我們的安全反饋之後,很快就打好了補丁。
這個事情發生之後,我自己找了一個安全漏洞掃描工具學習了一下。發現,即便不是專家,只要能在網上搜索、下載,輸入個網站地址就能進行掃描,還真的是一件很容易的事情。當然,***就不是那麼容易的事情了、那個得好好琢磨。而且沒有授權,任何***行爲都是違法的。
也由於這個事情,我比較了一下現實生活中的安全和網絡安全之間的差別。
我還記得讀大學的時候,同學用插片開寢室門鎖的場景,大家大概也都有這種經歷。鑰匙忘帶了,借一塊墊板或者硬塑料片,3下2下就能把一般的鎖開了。這是沒有任何附加防護的、也沒有任何保險機關的鎖,很好開。其他鎖要難一些,但是也不是沒有辦法開,現在大街上開鎖公司多的是,修鎖的師傅開鎖水平也不會差。但是現實生活中,不會有人一天到晚去搗鼓人家的門鎖,即便有小偷,他至少不敢在有人在家的時候去搗鼓人家的鎖。不過互聯網上就不是怎麼回事情了。如果我開的網站有漏洞,即便我本人登錄了網站,通過一些統計軟件在監控網站情況,這可不耽誤人家來掃描、嘗試***。不誇張的說,我們的網站是7×24小時暴露在***威脅之下的,這是現實和網絡安全的第一個差別。
現實和網絡安全的第二個差別是地域差別。換句話說北京的小偷沒事不會到上海來做案,即便到上海來,他還得考慮一下金錢和時間方面的成本。網絡上完全不是這個樣子,在網絡上,北京的上海的,國內的,甚至國外的***,只要他感興趣,都可能來***我的網站,這裏頭完全沒有地域差別,只有時差的差別(據說***大多是夜貓子,或許也不見得)。
現實和網絡安全的第三個差別是同時性差別。現實生活中,小偷撬門本身不多見,幾撥小偷同時撬一家人家的門,那基本上就不會發生(除非哪家有足夠大的地盤,可以讓幾撥小偷在幾個不同方向上互不干擾)。網絡上就不同了,同時在嘗試***同一個網站的人數,可能不止一個,特別是做的比較好的網站,更是可能吸引很多***同時在做***嘗試。
因此總的來說,我們在網絡上是7×24小時暴露在全世界的***的威脅之下的。如果網站的訪問量還算可以,那麼可以說,只要網站上有漏洞,總會被發現、被利用的。因此我們的安全意識一定要提高。提供安全意識,沒有比看看現有的案例更好的途徑了。開頭談到的安全管家業務有一個免費的安全週報。裏面收集了很多安全案例,比如今天的安全週報(pdf文件)的內容就很豐富:
每週安全信息通告(第68期)目錄:
安全事故案例
1.******網絡賬戶盜竊點卡一公司損失17萬 ⋯⋯⋯⋯⋯⋯⋯2
2.刷高選秀結果 “***”日賺三千 ⋯⋯⋯⋯⋯⋯⋯2
3.網遊“中獎”原是吸金圈套1600元只剩下7毛 ⋯⋯⋯⋯⋯⋯⋯4
4.少林寺網站又被黑了 ⋯⋯⋯⋯⋯⋯⋯5
5.非法***下載學歷數據近4千萬條 江西兩"***"被判刑 ⋯⋯⋯⋯⋯⋯⋯5
網絡安全動態
1.危害度極高!第二款iPhone蠕蟲病毒開始肆虐 ⋯⋯⋯⋯⋯⋯⋯7
2.聖誕期間謹防12大網絡騙局 ⋯⋯⋯⋯⋯⋯⋯7
3.FBI:***案時有發生 但大多數不被人知 ⋯⋯⋯⋯⋯⋯⋯9
4.IE漏洞危機四伏 ⋯⋯⋯⋯⋯⋯⋯9
漏洞公告 ⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯ 11
被黑網站 ⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯ 14
這個安全週報,是免費發給用戶的,不收費,大家有興趣也可以通過下列email索取:
之所以沒有把文件一起上傳上來,是因爲這些文件本來就是限制分發的。誰也不希望《開鎖大全》一類的書籍在大街上免費發放,對吧!您有興趣就自己去定吧,絕對能夠提高您的防護意識。