视频1:
视频2:
视频3:
访谈实录:
主持人 : 我们的聊天14:00准时开始,欢迎大家到时参与! [13:37:14 ]
主持人 : 请大家耐心等待,访谈马上开始。 [13:55:08 ]
主持人 : 我们的嘉宾已经就位,直播马上开始! [13:57:00 ]
主持人 : 大家的问题可以先进行提问,在访谈的后半程,我们会请嘉宾对网友问题进行回答。 [13:58:41 ]
主持人 : 各位网友大家好!欢迎各位网友今天百忙之中来到51CTO嘉宾聊天室。 [14:01:24 ]
主持人 : 今天也是51CTO“Web安全总动员”大型系列活动的开场活动。今天我们的聊天主题是“网站安全的攻击与防范”。我们有幸邀请到业内知名的专家张伟峰先生跟我们探讨这个话题 [14:02:19 ]
主持人 : 坐在我身边的就是张伟锋先生,他是资深的安全专家。张先生,给大家打个招呼吧。 [14:03:23 ]
张伟锋 : 各位网友大好,非常高兴有机会跟大家坐在一起交流这个话题,我们在这方面也有一些想法,希望跟大家分享一下在这个过程中我们通过交流共同把我们的网站建设得更安全,更好。 [14:03:42 ]
主持人 : 我记得在我还是在上学的时候,很崇拜一些自己可以建站,或者自己也一个网站或者,那个时候还叫做电子留言板(BBS)。我很崇拜他们。但是现在今天随便一个人,他就可以自己建立一个网站。 [14:04:47 ]
张伟锋 : 是啊,现在建站很容易。 [14:05:03 ]
主持人 : 正因为这样,网站越来越受到大家的关注。不过也是同样原因,关于网站方面就出现了一些不得不说的问题,也就是今天的主题:网站安全问题。 [14:05:55 ]
主持人 : 我们从前两天刚发生的一件事情来说吧。我们大家都知道前两天有一个新闻,就是法国驻华大使馆的网站已经无法访问了。你知道不知道这个事情? [14:06:52 ]
张伟锋 : 我知道。 [14:07:03 ]
主持人 : 您怎么看待这个事情呢? [14:07:16 ]
张伟锋 : 如果这件事情真的是中国网民所为,我觉得这实际上反应了广大网友的一种爱国热情。 [14:07:46 ]
主持人 : 我相信很多中国网民如果了解相关技术,也会加入这个团体。 [14:08:40 ]
主持人 : 可是作为我来说,我可能非常好奇,法国驻华大使馆的网站应该是官方的一个网站,他的防护级别应该是比较高的,那么在Web领域里面怎么样针对这种网站,他这种所谓的黑客我们应该,在我心中应该叫做红客,他们怎么做到这一点的? [14:09:01 ]
张伟锋 : 当然是要攻击一个网站必须要知道这个网站有什么样的弱点。 [14:09:08 ]
主持人 : 比如说呢? [14:09:15 ]
张伟锋 : 我通过扫描,搜集,或者通过社会工程学的方法,我搜集到一些扩展的信息。 [14:09:29 ]
主持人 : 这样说了,我们现场用语言来叙述一下,如果我是法国驻华大使馆的网站,你要怎么来攻击我?怎么样就能让我无法正常使用了? [14:10:05 ]
张伟锋 : 比如说我举简单的两个例子,我可以在短时间内联系很多这样的志同道合的人 [14:11:18 ]
主持人 : 也就是说你自己一个人干不了这个事情? [14:11:27 ]
张伟锋 : 那我要造成这种现象,比如我要在短时间内对你的网站发起无数次的请求和攻击,这样你的服务器资源肯定是有限的,等到达一定的程度的时候,你就会拒绝服务。 [14:12:04 ]
张伟锋 : 这个时候就是可能需要联系很多志同道合的人,他们手里面又可能有很多已经攻破的,同时向一个目标发起一个攻击。 [14:12:36 ]
张伟锋 : 另外我可能还希望通过网页篡改发一些内容,这时候我可能要通过各种方式,比如一些扫描工具,手段,看看这个网站有没有漏洞,如果说这个漏洞非常严重,如果说利用这个漏洞就可以控制这个网站,那我就能够在上面篡改页面,甚至于篡改信息。 [14:12:52 ]
主持人 : 实际上你刚才说的两种方法,这两种的区别何在? [14:14:18 ]
张伟锋 : 这两种攻击的目的可能是不一样的,因为平常情况下,你的网站如果说这个事没出,你的网站就不招人,在这种情况下,我没有必要大量访问造成你的网站瘫痪。另外就是,我通过其他的方式泄愤,最好的方式就是我把你的网页覆盖掉。 [14:14:52 ]
主持人 : 我就特别好奇这个事,让用户无法访问,还能让网站原来的面貌带一个面具。 [14:15:17 ]
张伟锋 : 实际上这种情况经常出现,包括在一些比较重要的时期,奥运前后,以及以前美国轰炸南斯拉夫大使馆之后,中美黑客相互对抗,相互之间网站篡改、攻击也是非常多的。 [14:16:03 ]
主持人 : 像你刚才说的这两种目的和形式,到底应该怎么样操作?我们并不是教给大家如何攻击一个网站,我们是想通过这种方式来说明一下,假如你是一个黑客你会怎么做呢? [14:16:27 ]
张伟锋 : 这就涉及一个攻击过程了。实际上每次攻击会有一定的目的性,首先我最初的就是了解你网站的脆弱性,你有什么可被我利用的漏洞。比如说,你是一个网站的管理员,我说我跟你哪个朋友认识,慢慢地跟你熟了以后我把你网站管理的用户管理员和密码拿过来,那我马上就可以做手脚。 [14:16:56 ]
主持人 : 你不认识我怎么办? [14:17:05 ]
张伟锋 : 不认识就要通过其他技术的手段来实现这种目的。 [14:17:21 ]
主持人 : 现在有什么技术手段? [14:17:29 ]
张伟锋 : 最普遍的就是扫描器,我看看你的最初级的防护,看看你网站有没有口令。 [14:17:51 ]
主持人 : 您能不能给大家介绍一下现在扫描器的基本情况? [14:18:05 ]
张伟锋 : 比如常见的端口扫描、操作系统的识别,还有一些专门针对于网络漏洞检测的扫描器。网上这种资源是非常多的,以至于现在你要攻破一个网站的话,对于一个不具备特别深的知识的人也是比较容易,有可能他尝试了1000个才攻破了10个,但是他做这个事自己不需要花多大的代价就可以完成。他的目的也就达到了。 [14:18:34 ]
主持人 : 实际上现在也趋近一个平民化趋势了。 [14:18:53 ]
张伟锋 : 甚至于可以提供渗透,进一步利用这个漏洞获取更高的权限,怎么去工作。 [14:19:08 ]
主持人 : 我们第一步要做的是扫描,这个很简单,在网上有很多工具可以使用,然后呢? [14:19:21 ]
张伟锋 : 发现弱点以后,就要根据弱点发现漏洞,想办法怎么利用。 [14:19:44 ]
主持人 : 这些常见的弱点都有哪些呢? [14:19:53 ]
张伟锋 : 常见的实际上我们把它统称为漏洞,这种要分的话可能会有两类,一类是技术类的。我们举的例子很多,比如操作系统,然后比如你的WEB发布系统的漏洞,各个层次不同的。还有管理上的,你比如说个人不注重这个网站,可能管理上意识不够强,密码设置的很简单,网站随意放在IE上,网站管理权限也不够规划的也不是很好,这些都是一些管理上的漏洞。这两类漏洞我能够找到相应的弱点, [14:20:21 ]
主持人 : 这些扫描器都可以完成吗? [14:20:45 ]
张伟锋 : 不一定,我可以通过技术手段搜集这个漏洞,也可以通过非技术手段。实际上大家也看到,最近我的手机每天要收5到10条这样的短信,欺诈短信,直接告诉你我现在帐户变了,现在是这个帐户,或者说有冒充,比如我在外面干什么被抓了,现在急需要钱,或者说他还甚至于知道你朋友,这实际上是一种社会工程学的方法。 [14:21:30 ]
张伟锋 : 这同样也利用在网站攻击上面,比如他为了套取一些个人信息也可以这样做,我再举一个我们经常的例子,相信大家现在很多人在玩开心网,当时就是说我看了一篇文章,我觉得他们说的开心网玩的时候,我推荐大家在玩的时候一定注意保障自己的个人隐私,因为这个都是在上班的白领人都在玩,这个里面包括你留的记录有可能会泄漏你的行踪,你比如说你告诉你的开心网上所有的朋友,你告诉我,接下来的三天我准备去哪里哪里旅游,这个时候有可能被盯着你的人利用。 [14:22:07 ]
主持人 : 这个有用吗?能做什么? [14:22:27 ]
张伟锋 : 不怕贼偷就怕贼惦记。如果你正好不在家,别有用心的人会盯到,比如你会不会泄漏一些公司的有关信息。 [14:22:46 ]
张伟锋 : 这是一个社会工程学的方法,通过社会关系了解你的信息。比如你正是一个网站的站长,你通过开心网记录你经常发生的一些事情就有可能泄漏相关的信息。 [14:23:14 ]
主持人 : 对于一些有心机的人,通过扫描器扫描出来这些弱点后,下一步会怎么做? [14:23:51 ]
张伟锋 : 包括这一部分都有很长的一系列的工具做。有自动化的工具,也的东西是完成不了的,要靠人工的交互式的进一步的探测和攻击,最终的目的就是达到你网站一定的权限。 [14:24:15 ]
主持人 : 最终就是要拿你网站的管理权限。 [14:24:26 ]
张伟锋 : 或者是一部分,比如漏洞本身达不到这一点。比如说现在比较流行的就是针对于网站的SQL注入,这些漏洞,这个有工具可以借鉴,比如你发现一个疑似的,你可以用相应的工具, [14:24:50 ]
主持人 : 都已经是现成的工具了。操作起来很简单吗? [14:25:06 ]
张伟锋 : 没错,可能稍微懂一些这些的知识就可以,就是进一步的渗透。 [14:25:17 ]
张伟锋 : 发现漏洞,利用漏洞,完成以后的结果是获取了网站的权限,第三步实际上是实施你要做的事情,你攻击不是一种目的,攻击的目的是你要通过这个达到什么效果,最终你攻击成功以后你篡改了数据,或者网页,或者你在上面放了一个木马,这是最终的目的。 [14:25:43 ]
主持人 : 我的理解来讲就好象一个贼闯到你家里,他不会太想我是从窗户进去还是门进去?他就是想拿你屋里的电视机,笔记本。窗户容易进去,没准就拿一块石头打破玻璃,有人可能不会拿东西,砸破你家玻璃之后也只是看一看而已,其实简单形容就是这样的。那这里面可能用到很多的攻击手段。您认为这些攻击手段是目前中国环境甚至整个国际环境来讲比较常见的? [14:27:20 ]
张伟锋 : 比较常见的我觉得是,可以分两类。一类就是技术性的攻击,攻击都是针对于某种漏洞来做的,那就是说有个攻击的过程,这种攻击你比如SQL注入的攻击,脚本的攻击。然后你要说到社会工程学的方法,有可能针对于你的人来供给,利用你的社会关系,比如IP欺骗,你可能经常会受到一些MSN的邮件,这个是以你朋友的姓名过来的,但是实际上这个不是他发的,是诱骗。社会工程学里面钓鱼是非常典型的,他实际上是通过对你的诱骗达到目的的,这种情况有助于他了解攻击的前期做准备,他了解了一些信息以后,他就可以再实施进一步的攻击,一直到攻击成功。 [14:28:33 ]
主持人 : 按您的说法这些手段都是比较常见的,可以这样理解吗? [14:28:44 ]
张伟锋 : 对。 [14:28:50 ]
主持人 : 哪种最有效果呢? [14:28:56 ]
张伟锋 : 是这样的,我作为一个黑客的话,我肯定是要攻击几个网站,我肯定会用最常见的漏洞,最容易攻击的,那么现在最容易攻击的就是WEB层面,最典型的现在排名前两位的就是SQL注入和脚本,作为我攻击我干吗要做别的事?我只要能够确认你这个网站上有这种被攻击的漏洞,我的目的就可以达到了。 [14:29:47 ]
主持人 : 我还很好奇,如果我站在黑客的位置来讲,您因为这个页面的专家了,对黑客心里的分析,他们到底喜欢做,比如我可能是一家电子商务的网站,我有可能是政府的网站,或者也有可能和51CTO一样,是一个信息平台。如果您是黑客,这有没有什么取舍?我们都知道以前黑客为了出名,为了炫耀自己的名利,现在不少媒体上也有聊到黑客的性质已经发生变化,他的最终目的就是为了钱,为了利益。 [14:30:28 ]
张伟锋 : 实际上你说的现在已经是有这样的情况,就是现在已经形成了一个黑色产业,包括了一个非常严密的各个环节,各个环节上都有获利模式,有专门制木马的,有卖的,有获利的,洗钱的,是整个非常严密的一个黑色产业。比如现在我发现一些网站上感觉,一个肉鸡多少多少钱,几天的可能便宜一点,一个月的可能更贵,木马多少钱,传播多少钱,这都是可以卖的。 [14:32:30 ]
张伟锋 : 但是从网站的本身,从黑客的角度来看的话,首先要看他攻击网站的目的,到底为什么?无非就是两个,一个是名一个是利。你要出名,首先我们来看看,你如果要出名你要选什么网站? [14:32:42 ]
主持人 : 当然是选有影响力的网站。 [14:32:50 ]
张伟锋 : 对,当然是浏览量大的、造成的影响比较广的。这就是为什么有人要攻击法国驻华使馆的网站。包括政府的网站,一旦被篡改造成的影响也是比较大。还有包括我攻击你们51CTO,你这么大的网站,那我不是就出名了吗?我可以选取这样的网站。实际上最主要的现在的攻击主要是为了利益, [14:34:04 ]
主持人 : 这个月初也有一条新闻,就是有一个人叫张波,他买来肉鸡攻击新浪网,造成新浪网有一些损失,现在已经进入诉讼环节,新浪要求索赔好像几百万。这样一件事情,其实这就是为了利,据我了解,我看了一些背景资料之后,他仅仅是为了要一个游戏的帐号。这是不是也是属于图利的? [14:34:43 ]
张伟锋 : 个人图利,团体图利,这种利益的主体是非常多的,我们要看这个,如果要图利的话会选取哪些攻击呢?比如直接获利的网站,电子商务的,银行的。 [14:36:29 ]
主持人 : 法国驻华使馆的网站可能会被我们国人攻击,曾经有清华大学大学生建立的反CNN网站也曾遭遇攻击,国内外的其他攻击时间也不绝于耳。您对这些事情都比较熟悉了,那么对比而言,国内的技术和国外的技术比较而言,您怎么看待? [14:39:01 ]
张伟锋 : 实际上很多人感觉,中国的互联网的建设和应用都会落后于国外,确实在业务上可能会落后于国外,但是我不认为从攻击技术方面来讲,中国会比国外差,甚至于我认为是强于国外的。 [14:40:34 ]
张伟锋 : 我觉得有几个特点,现在互联网传播的速度是非常快的,包括相关的技术,相关的工具,传播速度非常快。我举一个现在的例子,现在IE期报出现一个0Day的漏洞,这个很快在中国已经形成一个产业,新兴的网页已经出现,然后在现在12月初的时候已经在二三级的手中倒卖。 [14:40:48 ]
主持人 : 现在已经开始利用这个漏洞了。媒体刚刚披露不久。 [14:41:05 ]
张伟锋 : 你可以看看这个速度,我觉得在这个攻击技术和层面上来讲,感觉不出和国外有什么差别,但是你要说差别的话有一点,国内的网站更容易被攻击。有一个统计数字说是,全球的650万僵尸网站的话,那么有大概360万台在中国。占了58%,也就是说一半以上。 [14:41:17 ]
张伟锋 : 因为今年年初我也参加了关于僵尸网络的研讨会,会上有很多来自我们政府官方的一些消息,目前来看全世界范围内相当一部分僵尸网络都在中国境内,而且还会愈演愈烈,僵尸网络也给这些攻击者,他是一个利用的。 [14:42:19 ]
张伟锋 : 他是一个被利用的关系,有可能是一个电脑,也有可能是一个网站。 [14:42:32 ]
主持人 : 照您这么说我们的技术应该更好一些,只不过是差一些防护。 [14:43:19 ]
张伟锋 : 所以这个我要谈一些问题,我们在网站的防护上的一些脆弱性或者误区,我觉得可能是有两个方面,一个方面就是说首先是谈意识上。 [14:43:54 ]
张伟锋 : 网站的安全意识,我觉得这个里面可以有三个部分,第一个网站的价值经常被忽略,有的政府网站或者中小企业网站,以及包括个人的网站,会觉得我的网站反正也没多大价值。感觉自己的网站没有多大价值,但是实际上作为一个网站的所有者或者一个个人网站的所有者来讲,你希望你的网站在推广,慢慢地访问的数量越来越多,尤其对于企业用户,政府用户,一旦发生故障以后才会意识到对自己带来的损失是比较大的。 [14:44:47 ]
主持人 : 许多网站只有自己受伤害了才会重视。 [14:45:21 ]
张伟锋 : 不管从名誉上还是经济利益上,因为你建了一个小论坛,网站刚建的时候可能就是几十个用户,但是慢慢地发展起来以后,可能这个意识,你的网站的价值在逐步地增加,肯定远远高于你买服务器,租带宽的价值了,但是你仍然没有对这个网站增加安全措施,万一有一天被关掉,或者被删掉,他带来的损失是巨大的。 [14:45:55 ]
主持人 : 其实很多企业也有这样的问题。 [14:46:12 ]
张伟锋 : 对,有相当一批企业都有这种问题,包括政府。比如说很多政府的网站被篡改。 [14:46:41 ]
主持人 : 关键是我们对安全防护这方面的重视。 [14:47:21 ]
张伟锋 : 实际上这个就是说为什么国外的网站比国内的网站更难以攻击。这是第一个。第二个大部分网站的所有者,作为单位或者个人经常处于被动的状态,也就是说发现了事情以后,才开始重视,就是突然报了一个哪天谁告诉我某某大网站被攻击了,赶紧去改,这时候就是说,已经被攻完了,损失也已经造成了,是这样一个状态,这是从意识上。再一个就是说,存在侥幸心理,就是觉得反正这个网站数量这么多,不一定我就是被攻击的对象,你说是不怕贼偷就怕被贼惦记,所以大部分的企业用户都抱有一定的侥幸心理,我们的网站也不一定会被攻击,几率也比较小。一年才发生两三次。这就是我们在意识上存在的误区,我觉得可以表现出来这三点。 [14:47:56 ]
主持人 : 观念上需要转变,也就是说你要从一个被动的方式转到主动的方式。 [14:48:09 ]
张伟锋 : 还有一个就是,比较静态的看待网站安全问题。 [14:48:21 ]
主持人 : 这个怎么讲? [14:48:32 ]
张伟锋 : 为什么说是比较静态的,可能我们一些企业,我们一些组织的网站,我要去建设的时候,去考虑安全问题的时候,一次性的考虑完了。 [14:48:45 ]
主持人 : 有什么问题吗?一次性考虑很全面呀。 [14:49:09 ]
张伟锋 : 一次性的投入,比如我采购了防火墙,我一次性的投入,投入以后静态的放在那儿,但是我缺乏对这个网站安全的持续观察,持续关注。这是有安全隐患的。 [14:49:33 ]
主持人 : 在很多人的眼睛里安全是一劳永逸的事。 [14:50:56 ]
张伟锋 : 对,没错。第二个方面就是技术的问题, [14:51:08 ]
张伟锋 : 从防护技术上来讲,国内很多现有的措施实际上是不太够的,实际上你要考虑这个技术的方面,你就要同时考虑攻防,攻击技术都已经在迅猛发展,那么你的防护技术对于你的网站采取的防范措施或者防范手段应该也要跟上,或者保持一定的这样的增长。 [14:51:34 ]
主持人 : 您的意思是我们国内目前的情况来讲,防范的技术来讲弱一些。 [14:51:44 ]
张伟锋 : 可能错误的认为我的技术比较够了。 [14:51:49 ]
主持人 : 体现在什么地方? [14:51:57 ]
张伟锋 : 比如一个网站通过防火墙保护起来了,我开了80端口,我也装了防病毒,我通过安全的一些TPS来访问的,这样一些手段,我觉得我的网站已经很安全了,但实际上很多攻击是针对于网页的,如果你的网页也有漏洞,这方面的防范措施你没有及时察觉到,可能你的网站有漏洞,你没有发现,或者你的网页已经被改了,这个后面可能插了一段恶意代码,你自己都没有察觉到,你还以为你的网站是没有问题的。 [14:52:31 ]
主持人 : 一个是意识比较薄弱,第二个是我们的网站相对落后。 [14:52:59 ]
张伟锋 : 落后不是说不能做,在这方面还没有跟上。 [14:53:07 ]
主持人 : 对比而言,国外的是不是好一些? [14:53:15 ]
张伟锋 : 国外的从产品,技术都有比较成熟的,会比较系统。 [14:53:26 ]
主持人 : 这个是不是跟我们IT技术的基础设施建设相关的? [14:53:39 ]
张伟锋 : 当然是有相关的,有可能在你的IT的基础设施建设中不太完善的时候,你有可能没有精力考虑这方面,但是从目前国内的发展来看,我觉得这个方面要逐渐地重视起来。你想想前段时间有个统计数字,互联网应用的一个统计数字,现在的国内网站规模应该超过200万个。 [14:55:22 ]
张伟锋 : 我这个数据大概是7、8月份的时候,6月份到190万,这样一个网站的数量乘以一个高速增长的势头,但是网站的安全问题也要跟上。 [14:55:39 ]
主持人 : 其实您刚才说了很多关于我们现在国内和国际上对比而言的这种情况,那么这些对比出来的话,您认为我们现在国内的一些网站的危害、威胁主要体现在哪方面?您刚才实际上有提到,我们总结出来的有网页篡改,木马植入,除了我说的这两种还有没有其他的体现形式? [14:56:21 ]
张伟锋 : 实际上你要考虑网站的安全问题的时候,可以从完整,保密,可用性,网站数据的可用性,我通过这个攻击,你访问不了。 [14:56:48 ]
主持人 : 完整、保密、可用性?能解释一下吗? [14:57:31 ]
张伟锋 : 完整性,就是你的网站可能会被篡改。保密性就是你的网站的信息不会泄漏出去,比如你是一个大型的电子商务网站,你的客户资料,密码不会泄漏。第三个就是说你要保证可用性,比如说你的网站发生了很严重的挂马事件,你的网站被公安部门关闭,但是关闭的这段时间是不是对你造成损失,从根本性上来讲是这样。 [14:57:59 ]
张伟锋 : 但是我们总结,从显现出来的现象我们分为两类,一类是显性的,另一类是隐性的。显性的就是篡改,大家都能看得见,隐性的就是可能我攻击的方法比较隐蔽,我挂的马也比较隐蔽。 [14:58:18 ]
张伟锋 : 我有幸参与了奥运官网的安保,我们可以看到通过数据图表可以看到,无时无刻地不在有拒绝服务攻击(DDoS),扫描。 [14:59:07 ]
主持人 : 看来您的工作做得非常成功。其实刚才您说完这方面的威胁体现之外,拿我来讲我有一个网站,或者某一个企业里面的,怎么针对这些威胁进行防护呢?可能从我来讲我仅仅知道,我在我的整体网络里面加上一些防火墙,对于我的网站我要进行哪些方面的防护? [14:59:32 ]
张伟锋 : 我觉得首先是一些传统的安全防护的手段,安全保障的手段是可以想到的,安全的老三样。 [14:59:48 ]
主持人 : 防火墙,防病毒,还有IDS。 [14:59:56 ]
张伟锋 : 对于网站安全肯定会有作用,尤其是防病毒和防火墙,比如你一个网站就裸放着,所有的端口都是打开的,所有的端口都是被可攻击的,这就相当于不穿衣服展现在别人面前。 [15:00:25 ]
张伟锋 : 如果说有针对你的机器的攻击,你访问这样一个很有网页木马的网站,那么你中标的可能性更高。 [15:00:43 ]
主持人 : 除了老三样之外现在有没有什么变化? [15:00:50 ]
张伟锋 : 我们不是说老三样怎么样,老三样发挥了很重要的作用,很基础的,我们也必须具备。但是现在的话,在老三样里面具备以后,那么黑客还会想一些其他的办法。比如说现在实际上主要的攻击都在WEB层面,IDS检验的是网络层面的,防火墙是做网络方面的访问控制。 [15:01:07 ]
张伟锋 : 比如说针对于,就拿SQL注入的漏洞来说,那么我要对你实施攻击的时候,我攻击的过程实际上类似于网站的一次正常访问,这个防火墙,防病毒是没有办法的。 [15:01:32 ]
主持人 : 他根本做不到应用程度。 [15:01:45 ]
张伟锋 : 一个是检测不到,第二个是防护。那在这边的话,我觉得在缺乏的是,我们在企业网站的管理者缺乏的是现有的传统的技术手段对于主要矛盾,明显地有些力不从心了,第二个就是自己由于受限,比如我大部分企业的网站都是交给外面的公司去开发的,对于我刚刚说的形式的关注度是不够的,另外一个就是确实技术的能力的限制有限,对这些问题的检查和认识都是不足的,这是我们目前存在的一些问题。 [15:03:18 ]
张伟锋 : 那么如何解决这个问题我觉得有几个建议,我们现在首先可能就是说,我要尽量在事前我们尽量发现网站的弱点。然后再去采取手段,并且要定时地关注。你比如说你今天是12月11号,你检查了一遍,网站没有什么问题,但是12月11号晚上的时候有人给你网页上挂了一个木马,如果你今天检查完长期不关注的话,这个隐藏木马会在接下来的长期的一段时间。 [15:03:31 ]
主持人 : 要持续关注,定期检查 [15:03:42 ]
张伟锋 : 然后针对于这些发现的问题要问题做修护,你比如发现木马了要及时处理。 [15:03:52 ]
张伟锋 : 这个时候要尽快清除。可以考虑一些专业的服务团队帮你做这个事情,甚至于找你网站的开发商帮你修复这个软件,实际上这是仅从防患于未然的角度考虑。针对防护已经有一些针对于WEB的设备,比如WEB应用防火墙,防护产品,这样的一些设备。 [15:04:19 ]
主持人 : 我们来回答现场网友的提问。很多朋友已经有些着急了! [15:04:39 ]
主持人 : 对WEB应用防火墙,他能不能起到针对应用层的防护? [15:07:21 ]
张伟锋 : 主要针对WEB防火层的。传统的IPS可能还是针对于网络层的比较多一些,现在也有专门针对来保护网站的这种防护产品。比如说可以说WEB应用层次攻击里面80%都集中在SQL和脚本,那就是说你的防护设备能不能防护,针对于这两个问题的攻击,对于企业用户来讲。 [15:07:53 ]
主持人 : 您讲是企业花一定的钱一定的资金来保护我的网站,有的中小企业也有自己的网站,把这个网站外包出去,他没有这个资金,没有钱,甚至有的企业可能不愿意花钱,这个时候有没有保护手段?他们什么都不能做了吗? [15:08:10 ]
张伟锋 : 这个问题可以考虑一些服务,让专门的人为你做这个事情,包括定期的关注。我首先建议不管是企业还是个人,最基础的系统加固,实际上网站是由硬件设备和软件设备来构成的,软件主要是操作系统,发布系统,比如IS等等发布系统,还有数据库系统,这些系统的漏洞定期关注,系统层面的漏洞的防护,我们网站的管理员实际上可以。 [15:08:37 ]
张伟锋 : 这部分做了以后效果也是比较明显的。第二个层次就是说,你防火墙防病毒的一些传统的安全措施, [15:08:50 ]
张伟锋 : 大多数都是基于windows平台的,绝大多数的病毒都是针对于这个的,基本的层面需要做,这是最基础的。 [15:08:58 ]
张伟锋 : 现在最主要的攻击手段,也是存在最广泛的网站的漏洞,那就是通过网站应用层漏洞来攻击你的机器,这些传统的方式,不是说你传统方式步发挥作用,而且说传统方式对这些攻击是没有办法的。 [15:09:07 ]
主持人 : 那怎么办? [15:09:21 ]
张伟锋 : 实际上针对于这种就是刚刚讲的几个,首先你自己没有这方面的知识,没有这方面的防护的知识,你对于网页技术不是很了解,那你发现问题是有难度的。但是你发现了问题以后解决问题也是有难度的,再一个你如何防护也是有的。这三方面都是有相应的服务,产品以及技术来保障,当然为什么有那么多安全的厂商,他们是致力于研究这方面的产品和技术,以及服务,保障客户的需求。 [15:10:05 ]
主持人 : 有网友问,比如说我作为一个企业的IT的运行人来说,不一定有能力发现问题我根本可能不知道问题在哪里,我怎么办?现在国外比较流行的是什么样的技术?国内的又是如何? [15:10:30 ]
张伟锋 : 国外在针对于WEB层次的,比如WEB,首先检测,利用扫描器可以检测你这个WEB网页。 [15:10:38 ]
张伟锋 : 这个扫描器跟你一开始提的扫描器是一样的吗? [15:10:53 ]
张伟锋 : 类似的。这样的工具有免费的,有商业化,可能商业化的功能会更全一些。这样的情况,从防护层面来讲也有相关的产品,比如说刚刚提到的WBE应用防火墙这样的产品,以及监控,防护等等这些的产品去做。 [15:11:35 ]
主持人 : 有网友问,比如具体的情况,我的网站就是被篡改了网页,这个时候我之前没有做过其他的安全防护,那我现在怎么办?已经被篡改了,我现在怎么办? [15:11:51 ]
张伟锋 : 已经被篡改了,就是说,要尽快发现问题。你的页面被改掉以后,可能最常用的方法,如果没有备用文件直接恢复过来。如果没有那你立马,首先要删掉这个页面,但是你在被篡改的时候你已经被删掉的数据已经没有办法恢复了,实际上这个时候你的损失已经造成了,这种情况下你只能考虑我如何及时发现,并且将损失降到最小,怎么减少损失。 [15:12:11 ]
主持人 : 像您刚才说的这种情况,我只能祈祷以前有很好的备份习惯,如果没有的话我只能祈祷不被开除。所以说我在这里告诫各位网友,大家如果自己企业里的网站或者自己建站的话,一定要做备份,它是很重要的。 [15:12:29 ]
主持人 : 这是一种现象,那么可能还有一种现象,可能就是我的网站可能被植入木马了,这个就有两种情况,一种情况是我不知道我的网站被植入木马了,可能我的读者会知道,因为他通过访问我的网站自动下载一些恶意的代码或者程序,另外一种情况我通过某些检测的工具我发现我的网站被植入木马了,这两种情况我都要分别怎么样处理? [15:12:34 ]
张伟锋 : 首先你还不知道,如果说这方面的知识不是很足够的话,你可能发现,有可能读者告诉你,我发现你的网站有木马,但是你可能进入不到在哪个页面上,你的网站比较大,几千个网页,你如何定位这个网站? [15:12:48 ]
主持人 : 目前现在有没有好的方法? [15:14:48 ]
张伟锋 : 这个只能通过专业的服务机构,如果你自己不具备专业服务的产品,或者一些机构发现这个问题,定位这个问题。包括我们在这方面也有一定的问题,我们也做出了对网页检查的专门的服务,比较有针对性。 [15:14:57 ]
主持人 : 如果我自己也不具备这方面很强的技术,知识,我只能求助于外界,提供一些专业的知识。 [15:15:09 ]
张伟锋 : 还有一个问题,第二个,我已经发现了,发现了就是说,你已经发现页面上被挂马了,如果说你对这个网页比较了解的话,这个事情还是很容易处理的,你把这个代码删掉,因为这个跟你原先的初衷是不一样的,是有变化的。但是对于漏洞的话,你可能没有发现漏洞,或者你已经发现存在某个漏洞,漏洞的修复可能会稍微麻烦一点。 [15:15:31 ]
张伟锋 : 网页上的,比如说从SQL注入,主要因为客户访问网页的时候,这有一个输入域码你要加进去。这样的话一提交,你如果网站上有这个漏洞就有问题。 [15:16:13 ]
主持人 : 我现在手里有几个用户提到的几个问题,有一位叫DUJMENG,他提出一个问题,对于一个新的WEB服务器的安全设置和日后安全检查,从哪方面着手比较合适?这涉及到一个管理策略方面的问题。 [15:16:26 ]
张伟锋 : 对于一个新的WEB服务器的话,你考虑的是技术层次的,比如操作系统层面的,WBE发布系统,比如你用的是IIS6.0,如果安全地设置,我们这个技术也会比较多,相关的参考手册以及设置的技术,那么以及日后的安全设置,包括日志等等,这方面的具体的技术我们在这儿一下子说起来可能会比较多,在这方面没有很深的,但是就是说可以考虑的层次你可以从操作系统安全级别和发布系统,数据库系统这三个最基本的层次先去设置。 [15:18:16 ]
张伟锋 : 另外的话尤其要注意的是,你的网站本身的一些WEB页面,这是你网站的实体,程序,网站的页面上是不是有漏洞?这是脆弱性。现在你的WBE网页有可能最大程度的会被攻击。 [15:18:28 ]
主持人 : 也就是说先从自身找起。 [15:18:49 ]
张伟锋 : 建站之初,上线之前你要做测试,这个网站上线之后会不会有漏洞? [15:19:10 ]
张伟锋 : 对于企业网我建议我们除了找一个比较有实力的开发公司,建站,除非你自己有能力。第二个就是在网站上线之前做一个系统的,至少在网页层次你要做一个这样的检查,并且要定期关注,对个人用户来讲,现在我们建站比较简单,不是说自己一个一个去编写网站和代码,而是会利用一些成熟的程序和工具,但是我的建议是,我们最好用一些比较成熟的这几大论坛的程序,就是可以采用的,但是一定要定期地关注一下论坛的产品,什么时候做过更新,什么时候修正一些BUG,一定要及时做这方面的工作。 [15:19:50 ]
主持人 : 这里还有一位gemini网友,他说你能不能谈一下IIS的管理? [15:20:21 ]
张伟锋 : IIS的安全管理实际上就是刚刚谈到的,处于WEB基本的建站里面需要考虑的问题,你的发布系统是不是安全,这里面有几个比较重要的问题,网页访问权限的设定是比较重要的,这方面我可能不是研究的那么深入。 [15:21:27 ]
主持人 : 这里还有一位网友,他这个问题也很好,这位网友叫SM,他说作为网管员怎么样有效地放网站被攻击?我觉得这也是普遍存在的一个疑问,其实我们刚才已经稍微提到了一些,就是对于防范网站来说,可能有老三样的东西,还有新的提高自己的安全意识,这些是否有效,怎么样检测有效性,我想也是一个疑问,我做了这些事情,就算我持续的在检查,但我不知道外面有多少贼,怎么判断我的加固效果呢?我对网站的整体安全策略也制订了,我怎么判断这是有效的呢? [15:22:38 ]
张伟锋 : 实际上这个问题从两个方面来讲,一个方面是我怎么做,第二个方面我做了以后效果是什么样子,我怎么衡量,这是两个方面。 [15:23:26 ]
张伟锋 : 第一个方面就是说我怎么做才是有效的,实际上刚刚前面也做了很多的,做了一些说明。我总结一下,实际上对于目前的企业网站来讲,我们最主要的,你要做有效的防护,有效的保障,首先是要了解主要的问题是什么,主要的问题是现在主要的攻击是针对于WEB层面的,这个层面你有没有缺乏,从检测上来看,你能不能检测到。 [15:23:33 ]
张伟锋 : 第二个你能不能做有效的防护,第三个就是说,你发现这些问题以后你能不能做有效的处理? [15:23:45 ]
张伟锋 : 但是说通过情况下我们很难认识到我的工作为什么要比较有效,那就是说我们怎么做,那就是说首先考虑基础的层次,也没有做够,防火墙策略设置的是不是足够安全,操作系统有没有漏洞,这些都是可以通过列表一项一项检查的,检查完以后回到WEB层次,你的WEB层次是不是有漏洞。这三个方面要从检测开始,首先你从定期的关注,检测,检查开始,这是一个循环上升的过程。然后对于如何评价有效性,实际上也是这样的一个过程。 [15:24:06 ]
主持人 : 我觉得挺难的,怎么评价? [15:24:13 ]
张伟锋 : 是可以通过检测来衡量的。为什么一些大型的网站要做渗透测试,因为我的网站我也做了代码检查,又做了安全防护,做了很多的设置,那么这些设置,现在做渗透设置,相当于就是说我要让你来攻击我,看看能不能攻击,你检查一下我的防护手段是不是足够。 [15:24:45 ]
张伟锋 : 实际上就是说,检测的话有很多内容,你比如基础的层次,操作系统有没有漏洞,发布系统有没有漏洞,数据库有没有漏洞,你可以通过日常的扫描工具,现在有免费的也有商业化的,你可以进行测试,定期地关注,实际上这个也是一个检测的过程,包括对于网页的。比如网页你第一次检查你发现了有两个漏洞,你去修复了一下,然后你现在不知道你修复的是不是有效,你再做一次检查,现在只有一个漏洞了,等于你修复了这两个漏洞里面一个是有效的,另外一个是无效的。所以我刚刚说的怎么做是检查效果,关键在检测上。 [15:25:09 ]
张伟锋 : 检测是一个动态的网站安全的关注的过程的起点,也是另外一个高度的起点。 [15:25:20 ]
主持人 : 其实刚才我提到新浪被攻击,新浪是很大的网站了,他难道没有自己的渗透测试码? [15:25:27 ]
张伟锋 : 这个不是绝对的。我这边举一个例子。 [15:25:55 ]
张伟锋 : 我上周看了中央二台一个法制的栏目,讲了一个故事,我感觉很糁人。其实还是盗取银行卡。他们接入的工具也很简单,就是一个读卡器,一个复制卡的软件,都是互联网上购买来的,主要下手目标就是,监控24小时的ATM取款的地方。他做的手脚的地方是什么,我们进去之前都要刷磁卡,他在门禁上口一个壳,这个壳已经把你的信息读掉了,他安一个ATM的灯,这个灯里面有摄像头,你在取款的时候你的密码就被盗了,然后你的钱在不知不觉就被取掉了,所以说你说这个时候我们ATM机安全措施做的足够吗?我们有摄像头,可能周围还不时地有保安,但是同样的情况下你的钱真的有可能,所以说你的网站的话实际上也是这样的,道高一尺,魔高一丈,但是安全不是绝对的,绝对保证你的网站不受攻击,看起来无懈可击的地方还是会被突破的,也可能你的技术做的非常非常完善,但是你的管理还是有漏洞。 [15:26:49 ]
张伟锋 : 看过越狱的人都知道,没有可能的情况下。利用的就是漏洞。 [15:27:04 ]
主持人 : 刚才您谈到关于IIS的安全管理方面,可能这位cool网友还有一些疑问,关于服务器的伪装方法? [15:27:18 ]
张伟锋 : 服务器伪装方法有些歧义。我按照我的理解来解释吧。 [15:28:12 ]
张伟锋 : 我可以举行个例子,比如你这个网站是基于IIS构建的,然后你有一个人去访问你这个网站,比如我敲了www,上级你的网站根本不存在这个页面,我敲一下回车以后报错了,404错误,显示出IIS的页面不存在,这时候客户知道你所知道的发布系统是什么系统,但是这时候做的好的网站你访问不存在的页面的时候,你首先会看到一个提示页面,该网页不存在,但是如果你没有对这个错误页面做定位和处理得话,你就直接把你的,实际上就是信息泄漏式的漏洞。这实际上也是,我理解是一种伪装方法。网站服务器本身的,我可以把这个错误信息给你。 [15:28:37 ]
张伟锋 : 但是对于FTP这种数据构造这种伪装呢,可能借助于常用的IPS的产品都是可以检测的。 [15:29:47 ]
主持人 : 实际上有很多用户对于P2P的网站,还有前一段时间有报出这样一个新闻,就是有一个P2P的网站,电驴,号称是被北京网通劫持。 [15:31:24 ]
主持人 : 这个算不算在攻击范围内?我的理解是网通攻击了VERYCD的网站。 [15:31:30 ]
张伟锋 : 技术上可以这么说,我作为一个网站的访问者,我希望访问的就是这个网站,但是解析的时候这个被劫持了。 [15:32:05 ]
主持人 : 那谁能做这个工作? [15:32:11 ]
主持人 : 如果有一个黑客攻击了某一个DNS的域名是不是可以做这件事情? [15:32:25 ]
张伟锋 : 这个确实非常难防护的,这种情况下实际上前段时间,因为针对这个越来越流行的DNS的域名欺骗,国家有关部委也发布了这样的文,发布了让大家注意关注一下各级DNS的服务器的安全。 [15:32:38 ]
主持人 : 您说到这个我又突然想到在黑客攻击完成之后,我们国家好像据我所知没有一定的法律手段,没有判定什么样的攻击或者给你造成什么样的损失,是有一个取证,期间有一个取证的,比如说您攻击了我,我只知道我被人攻击了,但是不知道是您攻击了我,可能是其他人,您可能伪装成其他人攻击我那怎么追查? [15:32:52 ]
张伟锋 : 这个是另外一个方面,实际上在查证的时候,公安机关通常需要花费很大的精力逐层的查证,对于系统的日志,比如我作为一个黑客攻击一个网站,如果这个网站的系统能够有纪录,能够有取证的记录,我首先看到的是肉鸡攻击了这个网站,这个肉鸡可能是在网吧里面, [15:33:02 ]
张伟锋 : 逐步地追诉,但是如果在这个过程中某一个环节如果出现了失误,在网站方面以及网络宽带ISP方面,以及网吧方面都没有相关的记录的话,这个是很难查的。 [15:33:13 ]
主持人 : 其实您谈到记录的问题也就是说,我前段时间得到消息,其实很早9月份的时候,我们国家颁布了一部法规吧,说是企业内部管理方面的法规,规定了你必须要做到什么样的信息登记保护,像您刚才说的,企业里面有网站,可能是针对上市公司的。我觉得像您刚才所说的,我也有必要建议广大的用户,起码追踪到凶手,起码自己保留日志,定期地备份日志。 [15:33:43 ]
张伟锋 : 病人这个日志要保留一段时间,如果你作为站长可以定期地关注一下日志,你可以分析一下情况,某一段时间通过构建不正常的UIL,这个可能就可以作为一个报案的数据。 [15:33:58 ]
主持人 : 这个可以作为证据。我觉得很有必要跟大家强调一下。 [15:34:04 ]
张伟锋 : 包括我们国家的法规在慢慢地建立,在完善中的时候,实际上网站的断码也很常见,他们做这个事花的代价不大,我攻了就攻了,你也拿我没办法,查不到。 [15:34:14 ]
张伟锋 : 但是对于企业网站,政府网站,单位网站来讲,应该是有人做这个事情。对于个人网站我们只能通过自己的一些知识去维护。定期地关注网络时间,从这个事件中可以学到一些东西,有可能一些事件会说出一些攻击的细节到底是由于什么原因被攻击了,有的很可能是由于简单的管理员帐号口令被攻击了,有的可能就是通过SOL注入。 [15:34:41 ]
主持人 : 我们的网友还有很多的问题,不过限于时间我们可能无法谈一些具体细节了。我们会将大家的问题收集起来,然后交给相应的安全专家通过书面给大家回答。 [15:35:30 ]
主持人 : 相应的内容,大家可以关注我们刚刚上线的“网站常见的安全攻击与防御”专题,我们会逐步进行解答。 [15:36:06 ]
主持人 : 张先生给我们提供了很多关键性的意见和建议,最后的时间您能不能给大家总结一下。今天我们谈到了很多琐碎的事情,无包括常见的攻击手段,以及针对于这些攻击形式我们的常见的防护措施。 [15:36:25 ]
张伟锋 : 实际上总的来讲,今天主要的内容,从攻击的层面来讲,现在攻击已经发生了一些变化,也就是说主要的攻击是集中在应用层次而非网络层次,我们一些传统的安全防护手段仍然发挥了一些作用,在应用层次的攻击越来越多了,但是无论是在对于网站的安全的意识上,以及技术上都有一些相对的滞后,所以我希望大家以后在这方面一定要定期地,增强安全意识,一定要定期地主动地关注自己的网站安全情况,采取一些有效的措施去保障网站的健康运行。 [15:36:52 ]
主持人 : 感谢张先生为我们提供了这么多很有价值的建议,今天的访谈就到这里。本次访谈的摘要内容和一些问题的回答,都将在我们的专题网站安全技术专题http://netsecurity.51cto.com/art/200812/100652.htm,以及我们的“Web安全总动员”活动中发布 [15:38:10 ]
主持人 : Web安全总动员活动还将陆续推出安全专家访谈和安全技术专题,以及正在进行的安全技术自测。在接下来的3周里,我们将关注网站安全、IM安全和邮件安全,同时也将推出3组技术自测、3个应用专题以及多个安全访谈、门诊,还有相应的调查。欢迎大家积极参与。 [15:39:18 ]
主持人 : 今天的访谈就到这里,感谢大家的参与,我们下次访谈再见。 [15:39:44 ]
| 
