范渊：纵观WEB安全5年历程及趋势与挑战

安恒信息创始人范渊先生

演讲实录：

Frank：各位嘉宾、各位朋友，大家上午好！其实讲安全应该从05年开始，05年我在美国有一个演讲，就是在关于WEB安全的日常检测。从 06年开始攻击事件急速的增加，在中国被篡改网站的数量也急剧增加。而且这里面一个很重要的特点是从七八年前会出现有人会炫耀，其实那个时候黑客产业链这 一块开始浮出水面。06年大家开始关注取证式的WEB应用弱点扫描，等一下我会讲到这个历程，比如安全开发、安全开发、安全部署等一系列安全体系构成了我 们WEB应用安全的整体。07年是WEB2.0这样的名字开始大量出现，实际当时使用WEB2.0的还不是很多，包括国外的社区和国内都出现类似利用跨 站，WEB安全漏洞给人家很多在视觉和信用上的传播。

讲到黑客产业链这个话题，实际在过去和之前大家都收到过很多邮件，通过欺骗希望你点击以后中招，但是后来慢慢发展到邮件和在线的交谈依然是一个 媒体，但是这个媒体主要是送给你一个（英文），利用这个使你挂马，达到它间接的攻击，而且这个攻击的隐蔽性非常强，它的效果非常好。因为黑客产业链必然以 经济为基础，所以它需要追求用最低的成本达到最大的效益和最好的效果。每天有几十万访问量的网站和在线业务，比如网上营业厅、网上银行，所有这些必然会成 为它最直接可以利用的途径。当然这里面很复杂，而且他们有控制人、有买卖，有地下交易，还有洗钱，这些都可能在不同的国家发生。

08年里程碑的事件是奥运会是非常成功的盛会，但是其实它背后有很多故事，我是奥组委安全专家组的成员，在奥运大厦有好多次讨论相关的攻击防 范，实际在奥运会开幕前的说十个月我们已经开始对奥组委相关的网站进行相应的加固，实际奥组委网站改版很多次，但是大家可能没有意识到。这当中也发生很多 有意思的事情，奥运会这次给大家的最大的好处就是在于安全意识的提高，这个跟我们OWASP讲的精神也一样。

08年还有一件很重要的事情，就是群注风暴，全球大概有10万个网站被挂马，它是批量注入，利用应用程序的弱点，通过篡改参数来达到或控制修改 后台数据库，禁止达到控制所有相关攻击的目的。那么通过什么来发现它呢？最简单的手段就是google，因为它能够非常高效的告诉你有多少网站。它所达到 的效果是对于后台所有字符型的字段里面插入一段恶意代码，这段小的脚本就在这里，这段脚本达到的目的是用户插入数据库，后台的数据库因为是动态页面，会有 动态的信息展示，展示的过程中任何任何用户访问这个网站，它其实就会执行这个JS，进而去种植到本地实际上美国有很多资深 的安全公司的资深网站也在这次群注中落马。当时安全小组发现一台肉鸡在做这个事情，这段自动化工具写的比较精悍，但是非常实用，而且大家注意到它用到了一 点点的绕过。这个是它的配置文件，非常简明而实用，高效而实用。因为它是希望能够更加高效，现成配置这些东西。

经过这一年多，我觉得安全的意识大家有很大的提高，到09年时我们在中国有一次标杆性的事件，就是国庆六十周年的安保。国庆六十周年的安保请公 安部和通信安全中心对全国的网站进行抽样，在随机抽样的检测中大概有一半的网站存在严重的问题，就是可以随意的注入画面等东西。这是一些统计数据，注入画 面表单绕过是非常严重的，事实上这些数据反过来验证了数据的宝贵性和统计的准确性，像注入、跨站这类的问题每年都排在非常前面。在这个过程中发现有一些网 站甚至是已经被挂马或者已经被控制。

到了01年，在WEB安全方面有两块大的事情，一类是远程执行任意代码事件，比如像我们有些网站用BBS等第三方模块，反过来说明应用安全、整 体安全一定要提升的。远程攻击者可以在这个系统上执行任何的命名，这样它的远程攻击的威胁性、严重性都是非常明显的。还有一个漏洞 是。NET的攻击信泄露漏洞，说到这个想到了实施防范里面的那些原理，其实在攻击过程当中我们很多时候是利用返回不同的信息达到我们的效果。

今年黑帽子大会上有位专家讲到云计算是 安全的一场恶梦，事实上本身我们自己网络内的安全都还管不好的情况下，应用安全都管不好的情况下，你硬去相信一朵云，这朵云你从来都没有见过，这块的挑战 确实是巨大的。还有是手机互联网，智能终端又变成受害者之一。核心互联网网上的挑战也会非常严峻 ，为什么这样说呢？现在随着经济利益的驱动，其实最好的效果是在于有大量的有价值信息的，比如说网上银行，比如说网上证券交易，比如说网上营业厅，比如说 电子政务相关的一些东西，比如说网游，这些都会成为实际的目标。在这里面的矛与盾始终在对抗，在这当中应用安全和数据安全的价值会更大的促进体系，因为不管是移动互联网还是云计算，不管我们的核心业务在外还是在内，实际上是应用为王、业务为王，不可否认的是网络站面临的挑战依然存在。

因为时间关系，主要讲到这里，谢谢大家！