我的网站安全吗?
以前我弄过几个小网站,因为不牵涉电子商务方面的事情,因此也没有特别关心过安全问题。后来单位的一个电子商务的网站改版,恰好单位里面也有一个叫做安全管家的业务。就请安全专家对改版的测试网站做了一次漏洞扫描。扫描下来还真吓人一跳!漏洞狂多,网络上提到的sql注入、跨站脚本(XSS)等漏洞一应俱全。在授权的攻击的情况下,很快就成功入侵、冒名登录了。这次攻击给我的震撼很大。因为那个网站是要做真正电子商务的,用户的帐号里面是有钱的,尽管这些钱只能在我们指定的范围内消费,即便被盗用了,还是能补救的。但是一个商务网站弄成这个样子,还是够后怕的。所幸开发的兄弟们收到我们的安全反馈之后,很快就打好了补丁。
这个事情发生之后,我自己找了一个安全漏洞扫描工具学习了一下。发现,即便不是专家,只要能在网上搜索、下载,输入个网站地址就能进行扫描,还真的是一件很容易的事情。当然,入侵就不是那么容易的事情了、那个得好好琢磨。而且没有授权,任何攻击行为都是违法的。
也由于这个事情,我比较了一下现实生活中的安全和网络安全之间的差别。
我还记得读大学的时候,同学用插片开寝室门锁的场景,大家大概也都有这种经历。钥匙忘带了,借一块垫板或者硬塑料片,3下2下就能把一般的锁开了。这是没有任何附加防护的、也没有任何保险机关的锁,很好开。其他锁要难一些,但是也不是没有办法开,现在大街上开锁公司多的是,修锁的师傅开锁水平也不会差。但是现实生活中,不会有人一天到晚去捣鼓人家的门锁,即便有小偷,他至少不敢在有人在家的时候去捣鼓人家的锁。不过互联网上就不是怎么回事情了。如果我开的网站有漏洞,即便我本人登录了网站,通过一些统计软件在监控网站情况,这可不耽误人家来扫描、尝试入侵。不夸张的说,我们的网站是7×24小时暴露在黑客威胁之下的,这是现实和网络安全的第一个差别。
现实和网络安全的第二个差别是地域差别。换句话说北京的小偷没事不会到上海来做案,即便到上海来,他还得考虑一下金钱和时间方面的成本。网络上完全不是这个样子,在网络上,北京的上海的,国内的,甚至国外的黑客,只要他感兴趣,都可能来攻击我的网站,这里头完全没有地域差别,只有时差的差别(据说黑客大多是夜猫子,或许也不见得)。
现实和网络安全的第三个差别是同时性差别。现实生活中,小偷撬门本身不多见,几拨小偷同时撬一家人家的门,那基本上就不会发生(除非哪家有足够大的地盘,可以让几拨小偷在几个不同方向上互不干扰)。网络上就不同了,同时在尝试入侵同一个网站的人数,可能不止一个,特别是做的比较好的网站,更是可能吸引很多黑客同时在做入侵尝试。
因此总的来说,我们在网络上是7×24小时暴露在全世界的黑客的威胁之下的。如果网站的访问量还算可以,那么可以说,只要网站上有漏洞,总会被发现、被利用的。因此我们的安全意识一定要提高。提供安全意识,没有比看看现有的案例更好的途径了。开头谈到的安全管家业务有一个免费的安全周报。里面收集了很多安全案例,比如今天的安全周报(pdf文件)的内容就很丰富:
每周安全信息通告(第68期)目录:
安全事故案例
1.黑客攻击网络账户盗窃点卡一公司损失17万 ⋯⋯⋯⋯⋯⋯⋯2
2.刷高选秀结果 “黑客”日赚三千 ⋯⋯⋯⋯⋯⋯⋯2
3.网游“中奖”原是吸金圈套1600元只剩下7毛 ⋯⋯⋯⋯⋯⋯⋯4
4.少林寺网站又被黑了 ⋯⋯⋯⋯⋯⋯⋯5
5.非法入侵下载学历数据近4千万条 江西两"黑客"被判刑 ⋯⋯⋯⋯⋯⋯⋯5
网络安全动态
1.危害度极高!第二款iPhone蠕虫病毒开始肆虐 ⋯⋯⋯⋯⋯⋯⋯7
2.圣诞期间谨防12大网络骗局 ⋯⋯⋯⋯⋯⋯⋯7
3.FBI:黑客案时有发生 但大多数不被人知 ⋯⋯⋯⋯⋯⋯⋯9
4.IE漏洞危机四伏 ⋯⋯⋯⋯⋯⋯⋯9
漏洞公告 ⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯ 11
被黑网站 ⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯ 14
这个安全周报,是免费发给用户的,不收费,大家有兴趣也可以通过下列email索取:
之所以没有把文件一起上传上来,是因为这些文件本来就是限制分发的。谁也不希望《开锁大全》一类的书籍在大街上免费发放,对吧!您有兴趣就自己去定吧,绝对能够提高您的防护意识。
