《納斯達(dá)克的Web安全攻防戰(zhàn)》由會(huì)員分享，可在線閱讀，更多相關(guān)《納斯達(dá)克的Web安全攻防戰(zhàn)（6頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

1、 納斯達(dá)克 (Nasdaq) 是全美證券商協(xié)會(huì)自動(dòng)報(bào)價(jià)系統(tǒng) (NationalAssociationofSecuritiesDealersAutomatedQuotations) 的英文縮 寫，如今，這個(gè)系統(tǒng)的名字已成為股票交易市場(chǎng)的代名詞。 信息和服務(wù)業(yè)的興起催生了納斯達(dá)克，始建于 1971 年的納斯達(dá)克，讓股 票交易從此走入完全電子化并用電子化系統(tǒng)實(shí)現(xiàn)自我監(jiān)管的時(shí)代。 如今，納斯達(dá) 克更已成為全美， 乃至全世界范圍內(nèi)最大的股票電子交易市場(chǎng)， 不僅每天要收集 和發(fā)布場(chǎng)外交易非上市股票的證券商報(bào)價(jià)， 還要為 52

2、00 多家上市公司服務(wù)，在 55 個(gè)國(guó)家和地區(qū)設(shè)有 26 萬(wàn)多個(gè)計(jì)算機(jī)銷售終端。 納斯達(dá)克擁有數(shù)以億計(jì)的有價(jià)數(shù)據(jù)，它對(duì)網(wǎng)絡(luò)黑客來(lái)說(shuō)就像一個(gè)聚寶盆。 10 年來(lái)，幾乎全球的黑客都在想方設(shè)法侵入納斯達(dá)克的網(wǎng)站。技術(shù)精良的納斯達(dá)克？ 納斯達(dá)克的網(wǎng)站， 一向被人們認(rèn)為是世界上安全保障體系最嚴(yán)格的網(wǎng)站之 一。從建設(shè)之初，華爾街就一直以納斯達(dá)克所采用的精良技術(shù)為傲。然而，近十 年來(lái)，納斯達(dá)克遭遇黑客攻擊的消息卻總是不斷傳出。 1999 年 9 月，納斯達(dá)克和美國(guó)證券交易所兩個(gè)網(wǎng)站首度遭到黑客攻擊。 屆時(shí)，美國(guó)證券交易所

3、剛剛被納斯達(dá)克收購(gòu)。一個(gè)自稱“聯(lián)合貸款槍手” (U 的組織在午夜時(shí)分成功地侵入了這兩個(gè)證交所的網(wǎng)站。 雖然當(dāng)時(shí)黑客并沒(méi)有對(duì)系統(tǒng)中的財(cái)經(jīng)數(shù)據(jù)采取任何行動(dòng)， 但是黑客組織卻 在網(wǎng)站上留下了一條令人震驚的消息， 他們打算“操縱股市暴漲， 讓所有的投資 者都感到高興，在他們的汽車上都貼上一張紙條，上書：感謝 ULG! ” 該組織聲稱，他們已在納斯達(dá)克的系統(tǒng)中為自己建立了一個(gè)電子郵件信 箱，并宣告納斯達(dá)克的網(wǎng)站還存在很多漏洞。 而當(dāng)時(shí)，納斯達(dá)克每天的成交量已 多達(dá) 8 億股。 雖然納斯達(dá)克網(wǎng)站的安

4、全問(wèn)題立即引起了華爾街的重視， 并且也隨之部署 了更多的安全設(shè)施。但是，時(shí)隔一年，納斯達(dá)克便再次遭到了黑客的入侵。 一個(gè)自稱“ PrimeSupectz ”的黑客，闖入了納斯達(dá)克網(wǎng)站 () ，將“納斯達(dá)克一百指數(shù)”所在的位置換成了一句粗話。這場(chǎng)破 壞，也令納斯達(dá)克陷入了尷尬境地， 因?yàn)橐幌虮徽J(rèn)為技術(shù)精良的納斯達(dá)克， 在一 年多的時(shí)間內(nèi)，網(wǎng)站卻遭遇到兩次黑客侵襲。 而去年 7 月，紐約證交所以及納斯達(dá)克公司的主網(wǎng)站又遭到了兩次連續(xù)的 黑客攻擊。這兩次攻擊令紐約證交所的電腦系統(tǒng)發(fā)生了多次故障， 黑客不僅發(fā)布了美國(guó)國(guó)際集團(tuán)

5、將退市等錯(cuò)誤通告，還讓交易系統(tǒng)的交易延長(zhǎng)了 15 分鐘。 專家指出，如果盲目假設(shè)互聯(lián)網(wǎng)上最受歡迎或是交易量最大的網(wǎng)站安全性 一定就高，本身就是錯(cuò)誤的想法。 人們常常以為一個(gè)知名度高的網(wǎng)站必定擁有水 平更高超的安全專家，但實(shí)際情況是，黑客總在不斷努力采用新的技術(shù)實(shí)施攻擊， 而網(wǎng)站安全體系的變革卻總是落后于黑客。 我們必須看清， 納斯達(dá)克的安全風(fēng)險(xiǎn) 已經(jīng)轉(zhuǎn)向 Web 應(yīng)用的漏洞，被動(dòng)的安全技術(shù)更難以解決今天的問(wèn)題。 風(fēng)險(xiǎn)來(lái)自哪里？ 事實(shí)上，為了保障數(shù)據(jù)的安全和用戶的隱私權(quán)，很早納斯達(dá)克便建立了以 防火墻及安全訪

6、問(wèn)管理機(jī)制為核心的安全體系。 然而，現(xiàn)有的安全防護(hù)措施主要 通過(guò) SSL 安全代理、防火墻、 IDS/IPS 、軟件防火墻或是防病毒等工具來(lái)解決問(wèn) 題。由于這些安全防護(hù)措施自身的局限性， 導(dǎo)致網(wǎng)站難于應(yīng)對(duì)日新月異的安全攻 擊，特別是目前基于正常 WEB 訪問(wèn)而發(fā)起的 WEB 應(yīng)用攻擊手段。所以，像納 斯達(dá)克這類安全體系相對(duì)健全的網(wǎng)站，近年來(lái)也免不了不斷遭遇安全攻擊。 據(jù)梭子魚相關(guān)技術(shù)人員介紹， Web 應(yīng)用的安全風(fēng)險(xiǎn)當(dāng)前要遠(yuǎn)遠(yuǎn)大于人們 過(guò)去的認(rèn)知。首先在服務(wù)器端， 黑客往往會(huì)利用支付或者查詢系統(tǒng)自身存在的安

7、 全漏洞來(lái)侵入系統(tǒng)。 比如，基于 WEB 應(yīng)用的 SQL 注入攻擊，基于數(shù)據(jù)庫(kù)應(yīng)用的 OracleLinstener 攻擊，以及基于操作系統(tǒng)的緩沖區(qū)溢出攻擊等方式，早已成為 黑客集團(tuán)的慣用伎倆。 此外， SSL 安全代理主要依賴的是瀏覽器的正確實(shí)現(xiàn)以及服務(wù)器軟件和實(shí) 際加密算法的支持，對(duì)于現(xiàn)在的一些攻擊手段，如跨站攻擊、 SQL 注入以及數(shù) 據(jù)監(jiān)聽(tīng)等， SSL 從技術(shù)上來(lái)講是無(wú)可奈何的。 而傳統(tǒng)防火墻只能檢測(cè)網(wǎng)絡(luò)層的攻擊， 根本無(wú)法阻攔來(lái)自網(wǎng)絡(luò)內(nèi)部的非法 操作，更無(wú)法動(dòng)態(tài)識(shí)別或自適應(yīng)地調(diào)整規(guī)則。 而編程習(xí)慣造成的

8、眾多漏洞， 更是 等于為黑客敞開(kāi)了通向網(wǎng)站“金庫(kù)”的大門。 “由于技術(shù)局限性， 大多 IDS 產(chǎn)品也只能進(jìn)行已知的特征檢測(cè)。 由于這類 設(shè)備對(duì)數(shù)據(jù)層的信息缺乏深度分析， 本身的誤報(bào)、漏報(bào)率就很高，使得 IPS 的處 理效率低下，同時(shí)它也沒(méi)有對(duì) Session 或 User 的跟蹤，根本不能保護(hù) SSL 流 量?！彼笞郁~技術(shù)人員告訴記者。 再者，不管是防病毒軟件還是防火墻，采用的都是被動(dòng)檢測(cè)機(jī)制，它們只 能檢測(cè)到已知的病毒或木馬， 對(duì)于外部的正常訪問(wèn)請(qǐng)求更是無(wú)法識(shí)別， 所以基于 這兩類安全工具構(gòu)建的網(wǎng)站安全體系，

9、根本無(wú)法實(shí)現(xiàn)對(duì)合法訪問(wèn)的“篩選”。 其次在客戶端，大多用戶的個(gè)人電腦其實(shí)也并不安全。用戶對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)的 不警覺(jué)以及用戶個(gè)人賬號(hào)密碼存放的不安全， 都可能導(dǎo)致惡意攻擊者， 利用遠(yuǎn)程 木馬或是釣魚網(wǎng)站獲取用戶的個(gè)人賬號(hào)及密碼，最終損害客戶的直接利益。 所以， Web 安全問(wèn)題近些年已成為交易類網(wǎng)站的最大風(fēng)險(xiǎn)源，而且有逐 年飛速增長(zhǎng)的勢(shì)頭。 為納斯達(dá)克把脈 反觀納斯達(dá)克的 Web 安全隱患，梭子魚發(fā)現(xiàn)即使是納斯達(dá)克這樣技術(shù)精 良的網(wǎng)站，依舊存在不少風(fēng)險(xiǎn)。 對(duì)于十種黑客慣用的應(yīng)用程序漏洞， 納斯達(dá)克網(wǎng)

10、 站的防護(hù)能力也非常薄弱。 第一，緩存溢出。由于應(yīng)用程序的編碼會(huì)嘗試將應(yīng)用數(shù)據(jù)存儲(chǔ)于緩存中， 而不是正常的分配， 這種漏洞往往被黑客所利用， 變?yōu)楣羰侄巍?因?yàn)榻柚@種 錯(cuò)誤，惡意代碼就可以溢出到另外一個(gè)緩存中去執(zhí)行。 第二 .跨站點(diǎn)腳本攻擊。攻擊類型的代碼數(shù)據(jù)可以 *入到另外一個(gè)可信任區(qū) 域的數(shù)據(jù)中，最終導(dǎo)致使用可信任的身份來(lái)執(zhí)行攻擊， 這種攻擊方式也是黑客慣 用的伎倆。 第三，服務(wù)拒絕攻擊。這種攻擊會(huì)導(dǎo)致服務(wù)沒(méi)有能力為正常業(yè)務(wù)提供服務(wù)。 第四，異常錯(cuò)誤處理的風(fēng)險(xiǎn)。當(dāng)錯(cuò)誤發(fā)生時(shí)，系統(tǒng)向用戶提交錯(cuò)誤

11、提示是 很正常的事情， 但是如果提交的錯(cuò)誤提示中包含了太多的內(nèi)容， 就有可能會(huì)被攻 擊者分析出網(wǎng)絡(luò)環(huán)境的結(jié)構(gòu)或配置。 第五，非法 sessionID 。當(dāng) sessionID 沒(méi)有被正常使用時(shí)，攻擊者還可以 借機(jī)破壞 Web 會(huì)話，并且實(shí)施多個(gè)攻擊 (通過(guò)冒用其他的可信任的憑證 )，借此 來(lái)繞開(kāi)認(rèn)證機(jī)制。 第六，命令注入。這一問(wèn)題的風(fēng)險(xiǎn)是，如果系統(tǒng)沒(méi)有成功的阻止帶有語(yǔ)法 含義的輸入內(nèi)容，就有可能導(dǎo)致對(duì)數(shù)據(jù)庫(kù)信息的非法訪問(wèn)。比如，在 Web 表單 中輸入的內(nèi)容 (SQL 語(yǔ)句 )，應(yīng)該保持簡(jiǎn)單，并

12、且不應(yīng)該還有可被執(zhí)行的代碼內(nèi)容。 第七 .弱認(rèn)證機(jī)制的隱患。 雖然只要通過(guò)正確的開(kāi)發(fā) Web 應(yīng)用就可以輕而 易舉的避免此問(wèn)題，但是在眾多已經(jīng)在線使用的應(yīng)用中，這類問(wèn)題卻十分嚴(yán)重。 而一旦黑客利用弱認(rèn)證機(jī)制或者未加密的數(shù)據(jù)來(lái)獲得訪問(wèn)， 或是破壞、控制數(shù)據(jù)， 就會(huì)造成非常嚴(yán)重的影響。 第八，未受保護(hù)的參數(shù)傳遞風(fēng)險(xiǎn)。由于利用統(tǒng)一資源標(biāo)識(shí)符 (URL)和隱藏 的 HTML 標(biāo)記可以傳遞參數(shù)給瀏覽器，所以瀏覽器在將 HTML 傳回給服務(wù)器之前，是不會(huì)修改這些參數(shù)的。利用這一破綻的黑客工具現(xiàn)在也比比皆是。 第九，不安全的存儲(chǔ) - 對(duì)

13、于 Web 應(yīng)用程序來(lái)說(shuō)，妥善的保存密碼， 用戶名， 以及其它與身份驗(yàn)證有關(guān)的信息是非常重要的工作。 對(duì)這些信息進(jìn)行加密才是最 有效的方法。 然而，在實(shí)際操作過(guò)程中。 大多企業(yè)卻總是采用那些未經(jīng)實(shí)踐驗(yàn)證 的加密解決方案，這些方案本身就充滿了漏洞。 第十，非法輸入。在數(shù)據(jù)被輸入程序前忽略對(duì)數(shù)據(jù)合法性的檢驗(yàn)，是一個(gè) 常見(jiàn)的編程漏洞。在對(duì) Web 應(yīng)用程序脆弱性的調(diào)查中，非法輸入問(wèn)題已經(jīng)成為 大多數(shù) Web 應(yīng)用程序的最典型漏洞之一。 用“透明人”完成 Web 安全防護(hù) 經(jīng)過(guò)一番研究，梭子魚為納斯達(dá)克提出了一套更

14、完善的 Web 安全解決方 案。 首先，梭子魚采用了專業(yè)的應(yīng)用防火墻，為納斯達(dá)克的 Web 服務(wù)器和 Web 應(yīng)用提供全面的保護(hù)。和傳統(tǒng)防火墻不同，梭子魚應(yīng)用防火墻既可防范已 知的對(duì) Web 應(yīng)用系統(tǒng)及基礎(chǔ)設(shè)施漏洞的攻擊， 也能抵御住惡意攻擊或是目標(biāo)攻 擊。通過(guò)梭子魚應(yīng)用防火墻的專利技術(shù)， 納斯達(dá)克的網(wǎng)站還能對(duì) HTTP 請(qǐng)求進(jìn)行 終止、防護(hù)和加速的操作。 此外，梭子魚產(chǎn)品的動(dòng)態(tài)學(xué)習(xí)功能，可以自主的與納斯達(dá)克網(wǎng)站的 Web 服務(wù)器互相通信， 實(shí)時(shí)地自動(dòng)學(xué)習(xí)和策略建模。 由于梭子魚應(yīng)用防火墻具備實(shí)時(shí) 策略向?qū)Чδ埽?能夠協(xié)助管理員自定義策略， 同時(shí)讓管理員對(duì)當(dāng)前的策略擁有完 全的掌控權(quán)，所以所有違背 ACL 的行為都可以被納斯達(dá)克的網(wǎng)絡(luò)管理人員捕捉 到。 由于通過(guò)使用緩存、壓縮、 TCP 連接復(fù)用、負(fù)載均衡等各種技術(shù)對(duì)后臺(tái) Web 服務(wù)器進(jìn)行了流量的優(yōu)化，所以部署在納斯達(dá)克的 Web 服務(wù)器前端的梭 子魚應(yīng)用防火墻對(duì)用戶的體驗(yàn)沒(méi)有造成任何影響，就像是個(gè)“透明”的安全衛(wèi) 士。在管理過(guò)程中， 增減設(shè)備對(duì)網(wǎng)絡(luò)幾乎完全沒(méi)有影響。 這為納斯達(dá)克在將來(lái)對(duì) 網(wǎng)站的擴(kuò)容帶來(lái)了極大的益處。