时政热点：泄密门”的背后(2)

　　SQL注入攻击本身就是对数据库进行一系列SQL语句的查询，黑客可以执行一个SQL查询来实现绕过身份验证或者操纵数据。通过 SQL 注入攻击，黑客可以轻松地敲入一些 SQL 语句登录进网站、对隐秘数据进行查询等等。而这一切都可以在浏览器中进行。不止一位安全工程师向记者调侃：“不怕流氓会武术，就怕黑客会注入。”可见SQL注入的危害性和代表性。

　　但此次密码泄露事件涉及的众多网站，并不单纯是因为SQL注入攻击而失守。根据知道创宇公司对500万个网站检测后得出结论，SQL注入和XSS跨站攻击已经成为黑客主流攻击网站的手段。

　　防范之道

　　SQL通用防注入系统的作者Neeao认为，此次密码泄露事件大部分是因为网站出现安全问题而导致数据库被攻击。网站程序开发初期就应该考虑安全问题，同时应该严格把控代码的上线管理流程，所有代码规范管理。

　　明朝万达总裁王志海指出，全员的安全意识培训特别是技术开发和服务人员的安全意识是必要的，只要让大家牢牢树立信息安全防范意识，彻底排除侥幸心理，并融入到具体的开发和服务工作中，才能减少类似事件的发生。

　　专注于Web安全的团队80sec成员宋申雷以木桶比喻网站安全体系。他表示，以新浪爱问存在SQL注入为例，就是关联业务出现安全问题导致安全体系出现短板。目前，多数网站系统存在漏洞是由于业务部门不重视安全，没有产品上线和测试的安全流程所致。

　　记者在咨询多位安全工程师后归纳网站应用安全问题的原因主要有两个方面：一方面是代码的安全问题， SQL注入漏和XSS都是利用了Web页面的编写不完善，所以每一个漏洞所利用和针对的弱点都不尽相同。所以，不可能以单一特征来概括，这和开发人员对于安全的理解程度有关，应该通过加强开发人员的安全意识来避免。另外一方面是由于服务器配置原因造成，如目录遍历、备份文件直接可通过Web下载，IIS写权限等，这部分主要与服务器运维人员有关。应该建立健全的服务器配置管理流程，并严格执行。

　　此外，很多企业为方便工作，应用系统的用户账号和口令存在很明显的规则性。仝磊向记者介绍了一个因黑客摸清了业务系统生成默认账号密码的规律而被入侵的案例。仝磊建议，如果用户能够定期变更默认用户账号密码生成的规律，其损失就会大大减小，发生恶意事件的几率也会大大降低。

　　除了防范网站应用安全外，还要加强对数据库的审计，可对数据库操作的有完整记录并能够对外部的数据库未授权访问行为有效阻断。

　　据了解，目前多家安全公司如绿盟科技、启明星辰、安恒科技、安全宝等已启动提供免费的网站安全体检的服务，可帮助技术力量相对薄弱的企业掌握网站的安全状况。