納斯達(dá)克的Web安全攻防戰(zhàn)

1、納斯達(dá)克(Nasdaq)是全美證券商協(xié)會(huì)自動(dòng)報(bào)價(jià)系統(tǒng)(National Association of Securities Dealers Automated Quotations)的英文縮寫(xiě)，如今，這個(gè)系統(tǒng)的名字已成為股票交易市場(chǎng)的代名詞。信息和服務(wù)業(yè)的興起催生了納斯達(dá)克，始建于1971年的納斯達(dá)克，讓股票交易從此走入完全電子化并用電子化系統(tǒng)實(shí)現(xiàn)自我監(jiān)管的時(shí)代。如今，納斯達(dá)克更已成為全美，乃至全世界范圍內(nèi)最大的股票電子交易市場(chǎng)，不僅每天要收集和發(fā)布場(chǎng)外交易非上市股票的證券商報(bào)價(jià)，還要為5200多家上市公司服務(wù)，在55個(gè)國(guó)家和地區(qū)設(shè)有26萬(wàn)多個(gè)計(jì)算機(jī)銷(xiāo)售終端。納斯達(dá)克擁有數(shù)以?xún)|計(jì)的有價(jià)數(shù)據(jù)，它

2、對(duì)網(wǎng)絡(luò)黑客來(lái)說(shuō)就像一個(gè)聚寶盆。10年來(lái)，幾乎全球的黑客都在想方設(shè)法侵入納斯達(dá)克的網(wǎng)站。技術(shù)精良的納斯達(dá)克？納斯達(dá)克的網(wǎng)站，一向被人們認(rèn)為是世界上安全保障體系最嚴(yán)格的網(wǎng)站之一。從建設(shè)之初，華爾街就一直以納斯達(dá)克所采用的精良技術(shù)為傲。然而，近十年來(lái)，納斯達(dá)克遭遇黑客攻擊的消息卻總是不斷傳出。1999年9月，納斯達(dá)克和美國(guó)證券交易所兩個(gè)網(wǎng)站首度遭到黑客攻擊。屆時(shí)，美國(guó)證券交易所剛剛被納斯達(dá)克收購(gòu)。一個(gè)自稱(chēng)“聯(lián)合貸款槍手”( ULG)的組織在午夜時(shí)分成功地侵入了這兩個(gè)證交所的網(wǎng)站。雖然當(dāng)時(shí)黑客并沒(méi)有對(duì)系統(tǒng)中的財(cái)經(jīng)數(shù)據(jù)采取任何行動(dòng)，但是黑客組織卻在網(wǎng)站上留下了一條令人震驚的消息，他們打算“操縱股市暴漲，

3、讓所有的投資者都感到高興，在他們的汽車(chē)上都貼上一張紙條，上書(shū)：感謝ULG!”該組織聲稱(chēng)，他們已在納斯達(dá)克的系統(tǒng)中為自己建立了一個(gè)電子郵件信箱，并宣告納斯達(dá)克的網(wǎng)站還存在很多漏洞。而當(dāng)時(shí)，納斯達(dá)克每天的成交量已多達(dá)8億股。雖然納斯達(dá)克網(wǎng)站的安全問(wèn)題立即引起了華爾街的重視，并且也隨之部署了更多的安全設(shè)施。但是，時(shí)隔一年，納斯達(dá)克便再次遭到了黑客的入侵。一個(gè)自稱(chēng)“PrimeSupectz”的黑客，闖入了納斯達(dá)克網(wǎng)站()，將“納斯達(dá)克一百指數(shù)”所在的位置換成了一句粗話。這場(chǎng)破壞，也令納斯達(dá)克陷入了尷尬境地，因?yàn)橐幌虮徽J(rèn)為技術(shù)精良的納斯達(dá)克，在一年多的時(shí)間內(nèi)，網(wǎng)站卻遭遇到兩次黑客侵襲。而去年7月，紐約證

4、交所以及納斯達(dá)克公司的主網(wǎng)站又遭到了兩次連續(xù)的黑客攻擊。這兩次攻擊令紐約證交所的電腦系統(tǒng)發(fā)生了多次故障，黑客不僅發(fā)布了美國(guó)國(guó)際集團(tuán)將退市等錯(cuò)誤通告，還讓交易系統(tǒng)的交易延長(zhǎng)了15分鐘。專(zhuān)家指出，如果盲目假設(shè)互聯(lián)網(wǎng)上最受歡迎或是交易量最大的網(wǎng)站安全性一定就高，本身就是錯(cuò)誤的想法。人們常常以為一個(gè)知名度高的網(wǎng)站必定擁有水平更高超的安全專(zhuān)家，但實(shí)際情況是，黑客總在不斷努力采用新的技術(shù)實(shí)施攻擊，而網(wǎng)站安全體系的變革卻總是落后于黑客。我們必須看清，納斯達(dá)克的安全風(fēng)險(xiǎn)已經(jīng)轉(zhuǎn)向Web應(yīng)用的漏洞，被動(dòng)的安全技術(shù)更難以解決今天的問(wèn)題。風(fēng)險(xiǎn)來(lái)自哪里？事實(shí)上，為了保障數(shù)據(jù)的安全和用戶的隱私權(quán)，很早納斯達(dá)克便建立了以防

5、火墻及安全訪問(wèn)管理機(jī)制為核心的安全體系。然而，現(xiàn)有的安全防護(hù)措施主要通過(guò)SSL安全代理、防火墻、IDS/IPS 、軟件防火墻或是防病毒等工具來(lái)解決問(wèn)題。由于這些安全防護(hù)措施自身的局限性，導(dǎo)致網(wǎng)站難于應(yīng)對(duì)日新月異的安全攻擊，特別是目前基于正常WEB訪問(wèn)而發(fā)起的WEB應(yīng)用攻擊手段。所以，像納斯達(dá)克這類(lèi)安全體系相對(duì)健全的網(wǎng)站，近年來(lái)也免不了不斷遭遇安全攻擊。據(jù)梭子魚(yú)相關(guān)技術(shù)人員介紹，Web應(yīng)用的安全風(fēng)險(xiǎn)當(dāng)前要遠(yuǎn)遠(yuǎn)大于人們過(guò)去的認(rèn)知。首先在服務(wù)器端，黑客往往會(huì)利用支付或者查詢(xún)系統(tǒng)自身存在的安全漏洞來(lái)侵入系統(tǒng)。比如，基于WEB應(yīng)用的SQL注入攻擊，基于數(shù)據(jù)庫(kù)應(yīng)用的OracleLinstener攻擊，以及

6、基于操作系統(tǒng)的緩沖區(qū)溢出攻擊等方式，早已成為黑客集團(tuán)的慣用伎倆。此外，SSL安全代理主要依賴(lài)的是瀏覽器的正確實(shí)現(xiàn)以及服務(wù)器軟件和實(shí)際加密算法的支持，對(duì)于現(xiàn)在的一些攻擊手段，如跨站攻擊、SQL注入以及數(shù)據(jù)監(jiān)聽(tīng)等，SSL從技術(shù)上來(lái)講是無(wú)可奈何的。而傳統(tǒng)防火墻只能檢測(cè)網(wǎng)絡(luò)層的攻擊，根本無(wú)法阻攔來(lái)自網(wǎng)絡(luò)內(nèi)部的非法操作，更無(wú)法動(dòng)態(tài)識(shí)別或自適應(yīng)地調(diào)整規(guī)則。而編程習(xí)慣造成的眾多漏洞，更是等于為黑客敞開(kāi)了通向網(wǎng)站“金庫(kù)”的大門(mén)?！坝捎诩夹g(shù)局限性，大多IDS產(chǎn)品也只能進(jìn)行已知的特征檢測(cè)。由于這類(lèi)設(shè)備對(duì)數(shù)據(jù)層的信息缺乏深度分析，本身的誤報(bào)、漏報(bào)率就很高，使得IPS的處理效率低下，同時(shí)它也沒(méi)有對(duì)Session或Us

7、er的跟蹤，根本不能保護(hù)SSL流量?！彼笞郁~(yú)技術(shù)人員告訴記者。再者，不管是防病毒軟件還是防火墻，采用的都是被動(dòng)檢測(cè)機(jī)制，它們只能檢測(cè)到已知的病毒或木馬，對(duì)于外部的正常訪問(wèn)請(qǐng)求更是無(wú)法識(shí)別，所以基于這兩類(lèi)安全工具構(gòu)建的網(wǎng)站安全體系，根本無(wú)法實(shí)現(xiàn)對(duì)合法訪問(wèn)的“篩選”。其次在客戶端，大多用戶的個(gè)人電腦其實(shí)也并不安全。用戶對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)的不警覺(jué)以及用戶個(gè)人賬號(hào)密碼存放的不安全，都可能導(dǎo)致惡意攻擊者，利用遠(yuǎn)程木馬或是釣魚(yú)網(wǎng)站獲取用戶的個(gè)人賬號(hào)及密碼，最終損害客戶的直接利益。所以，Web安全問(wèn)題近些年已成為交易類(lèi)網(wǎng)站的最大風(fēng)險(xiǎn)源，而且有逐年飛速增長(zhǎng)的勢(shì)頭。為納斯達(dá)克把脈反觀納斯達(dá)克的Web安全隱患，梭子魚(yú)發(fā)現(xiàn)

8、即使是納斯達(dá)克這樣技術(shù)精良的網(wǎng)站，依舊存在不少風(fēng)險(xiǎn)。對(duì)于十種黑客慣用的應(yīng)用程序漏洞，納斯達(dá)克網(wǎng)站的防護(hù)能力也非常薄弱。第一，緩存溢出。 由于應(yīng)用程序的編碼會(huì)嘗試將應(yīng)用數(shù)據(jù)存儲(chǔ)于緩存中，而不是正常的分配，這種漏洞往往被黑客所利用，變?yōu)楣羰侄?。因?yàn)榻柚@種錯(cuò)誤，惡意代碼就可以溢出到另外一個(gè)緩存中去執(zhí)行。第二.跨站點(diǎn)腳本攻擊。攻擊類(lèi)型的代碼數(shù)據(jù)可以*入到另外一個(gè)可信任區(qū)域的數(shù)據(jù)中，最終導(dǎo)致使用可信任的身份來(lái)執(zhí)行攻擊，這種攻擊方式也是黑客慣用的伎倆。第三，服務(wù)拒絕攻擊。這種攻擊會(huì)導(dǎo)致服務(wù)沒(méi)有能力為正常業(yè)務(wù)提供服務(wù)。第四，異常錯(cuò)誤處理的風(fēng)險(xiǎn)。當(dāng)錯(cuò)誤發(fā)生時(shí)，系統(tǒng)向用戶提交錯(cuò)誤提示是很正常的事情，但是如果

9、提交的錯(cuò)誤提示中包含了太多的內(nèi)容，就有可能會(huì)被攻擊者分析出網(wǎng)絡(luò)環(huán)境的結(jié)構(gòu)或配置。第五，非法session ID。當(dāng)session ID沒(méi)有被正常使用時(shí)，攻擊者還可以借機(jī)破壞Web會(huì)話，并且實(shí)施多個(gè)攻擊(通過(guò)冒用其他的可信任的憑證)，借此來(lái)繞開(kāi)認(rèn)證機(jī)制。第六，命令注入。這一問(wèn)題的風(fēng)險(xiǎn)是，如果系統(tǒng)沒(méi)有成功的阻止帶有語(yǔ)法含義的輸入內(nèi)容，就有可能導(dǎo)致對(duì)數(shù)據(jù)庫(kù)信息的非法訪問(wèn)。比如，在Web表單中輸入的內(nèi)容(SQL語(yǔ)句)，應(yīng)該保持簡(jiǎn)單，并且不應(yīng)該還有可被執(zhí)行的代碼內(nèi)容。第七.弱認(rèn)證機(jī)制的隱患。雖然只要通過(guò)正確的開(kāi)發(fā)Web應(yīng)用就可以輕而易舉的避免此問(wèn)題，但是在眾多已經(jīng)在線使用的應(yīng)用中，這類(lèi)問(wèn)題卻十分嚴(yán)重。而

10、一旦黑客利用弱認(rèn)證機(jī)制或者未加密的數(shù)據(jù)來(lái)獲得訪問(wèn)，或是破壞、控制數(shù)據(jù)，就會(huì)造成非常嚴(yán)重的影響。第八，未受保護(hù)的參數(shù)傳遞風(fēng)險(xiǎn)。由于利用統(tǒng)一資源標(biāo)識(shí)符(URL)和隱藏的HTML標(biāo)記可以傳遞參數(shù)給瀏覽器，所以瀏覽器在將HTML傳回給服務(wù)器之前，是不會(huì)修改這些參數(shù)的。利用這一破綻的黑客工具現(xiàn)在也比比皆是。第九，不安全的存儲(chǔ) - 對(duì)于Web應(yīng)用程序來(lái)說(shuō)，妥善的保存密碼，用戶名，以及其它與身份驗(yàn)證有關(guān)的信息是非常重要的工作。對(duì)這些信息進(jìn)行加密才是最有效的方法。然而，在實(shí)際操作過(guò)程中。大多企業(yè)卻總是采用那些未經(jīng)實(shí)踐驗(yàn)證的加密解決方案，這些方案本身就充滿了漏洞。第十，非法輸入。在數(shù)據(jù)被輸入程序前忽略對(duì)數(shù)據(jù)合法

11、性的檢驗(yàn)，是一個(gè)常見(jiàn)的編程漏洞。在對(duì)Web應(yīng)用程序脆弱性的調(diào)查中，非法輸入問(wèn)題已經(jīng)成為大多數(shù)Web應(yīng)用程序的最典型漏洞之一。用“透明人”完成Web安全防護(hù)經(jīng)過(guò)一番研究，梭子魚(yú)為納斯達(dá)克提出了一套更完善的Web安全解決方案。首先，梭子魚(yú)采用了專(zhuān)業(yè)的應(yīng)用防火墻，為納斯達(dá)克的Web服務(wù)器和Web應(yīng)用提供全面的保護(hù)。和傳統(tǒng)防火墻不同，梭子魚(yú)應(yīng)用防火墻既可防范已知的對(duì) Web 應(yīng)用系統(tǒng)及基礎(chǔ)設(shè)施漏洞的攻擊，也能抵御住惡意攻擊或是目標(biāo)攻擊。通過(guò)梭子魚(yú)應(yīng)用防火墻的專(zhuān)利技術(shù)，納斯達(dá)克的網(wǎng)站還能對(duì)HTTP請(qǐng)求進(jìn)行終止、防護(hù)和加速的操作。此外，梭子魚(yú)產(chǎn)品的動(dòng)態(tài)學(xué)習(xí)功能，可以自主的與納斯達(dá)克網(wǎng)站的Web服務(wù)器互相通信，實(shí)時(shí)地自動(dòng)學(xué)習(xí)和策略建模。由于梭子魚(yú)應(yīng)用防火墻具備實(shí)時(shí)策略向?qū)Чδ?，能夠協(xié)助管理員自定義策略，同時(shí)讓管理員對(duì)當(dāng)前的策略擁有完全的掌控權(quán)，所以所有