Web2.0迎来白帽的春天
作者: 日期:2014年02月05日 阅:4,121

white_hat11

Web作为互联网的核心,是云计算和移动互联网的最佳载体,因此Web安全也成为互联网公司安全业务中最重要的组成部分。如今越来越多的企业努力尝试通过Web应用进行企业自动化办公的改良,通过网络设备传递和存储大量的信息来提高办公效率。随之而来的Web安全隐患层出不穷,给企业运营等带来大量不稳定因素,于是关于Web应用安全日益成为互联网时代研究和重视的课题。

Web 2.0 时代新问题

国际权威机构Forrester的统计数据表明,67%的攻击应用层的攻击。通常,最简单的网页浏览也有可能造成威胁,比如点击了受感染的网址,或者由于打开的网页上装载有恶意代码,不知不觉便造成了个人帐号的丢失,甚至后台服务器系统漏洞的开启。典型的Web攻击手段包括:SQL(注入式攻击),XSS(跨站脚本攻击),网页置换,信息窃取,拒绝服务攻击,僵尸网络以及多种攻击手段的组合。Web 1.0时代,人们更多的是关注服务器端动态脚本的安全问题,比如将一个可执行脚本(Webshell)上传到服务器上,从而获得权限。动态脚本语言的普及,以及Web技术发展初期对安全认知的不足酿成了很多“血案”,同时也遗留下诸多历史问题。

伴随着Web 2.0的到来,Web攻击的思路从服务器端转向了客户端、浏览器和用户。攻击者天马行空的思路,覆盖了Web的每一个环节,变得更加多样化。Web技术发展到今天,构建出了丰富多彩的互联网。互联网业务的蓬勃发展,也催生出了许多新兴的脚本语言,比如Python、Ruby、NodeJS等,敏捷开发成为互联网的主旋律。而手机技术、移动互联网的兴起,也给HTML 5带来了新的机遇和挑战。众所周知各种应用都是基于代码进行开发的,代码质量直接影响了Web应用的使用效果和安全体验,而独立的安全代码其实是应用安全的重中之重,这就对安全工程师们提出了更高的要求。

白帽子迎来春天

在黑客的世界中,往往用帽子的颜色来比喻黑客的好坏。黑帽子,是指利用黑客技术破坏网络,进而开展网络犯罪的群体;而白帽子,则指那些精通安全技术,致力于反黑客领域的专家们,他们一般是企业的安全工程师。然而,“破坏永远比建设容易”,这种局面要如何扭转呢?

通常,白帽子选择的方法,是克服某种攻击方法,而非抵御单次的攻击。比如设计一个解决方案,在特定环境下能够抵御所有已知的和未知的SQL Injection问题。假设这个方案的实施周期是3个月,那么执行3个月后,所有的SQL Injection问题都得到了解决,也就意味着黑客再也无法利用SQL Injection这一可能存在的弱点入侵网站了。如果做到了这一点,那么白帽子们就在SQL Injection的局部对抗中化被动为主动了。但这一切都是理想状态,在现实世界中,存在着各种各样不可回避的问题。白帽子很喜欢一句话:“No Patch for Stupid”,而安全领域也普遍认为:“最大的漏洞就是人”。写得再完美的程序,在有人参与的情况下,依旧会出现各种各样不可预知的意外,例如管理员的密码可能泄露,程序员可能会关掉安全的配置参数等等。

另一方面,防御技术在不断完善的同时,攻击技术也在不断地发展。这就像一场军备竞赛,看谁跑在前面。白帽子们刚把某种漏洞全部堵上,黑帽子们转眼又会玩出新花样。谁能在技术上领先,谁就能占据主动。互联网技术日新月异,在新技术领域的发展中,也存在着同样的博弈过程。令人欣慰的是,中国的Web安全从最初的一片混沌到后来的乌云漏洞平台(wooyun),再到如今360漏洞报告中心加入到成员众多的SRC阵营(Security Response Center,安全应急响应中心),白帽子的2013年可谓岁稔年丰。2013年,腾讯发放了将近150万的奖励,惠及200多位白帽子。同时,360也抛出了“库带计划”,以现金奖励方式征集开源建站系统漏洞,用以帮助软件公司和开发者及时推出漏洞补丁。从安全平民化的进程来看,这是整个中国互联网安全的一大进步。

对于白帽子们来说,资产的利益固然诱人,但随着互联网法律的完善、犯罪成本的增加、互联网公司安全水平不断提升等情况变化,越来越多的白帽子对此嗤之以鼻。而通过自身掌握的Web安全技能,和各互联网公司建立良好关系,帮助并监督他们安全使用Web,最终受益的是网民,是整个中国互联网的行业。

这是一个最好的时代,这是一个最坏的时代。随着Web2.0时代的到来,将有更多的白帽子致力于Web安全这一伟大征程。

 

安全牛点评:随着web服务、移动和云计算的普及,以网站为主要目标的“酒吧式攻击”正取代“钓鱼式攻击”在成为全球黑客攻击的流行手法; 随着企业2.0应用和移动web应用的不断增长,web安全也不再仅仅是互联网公司的心头大患,所有的企业和个人都面临日益增长的web安全威胁,这对web安全人才,尤其是高水平的白帽黑客来说意味着市场需求和个人收入都将不断看涨。

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章