网站篡改是泄愤还是炫耀?

　　近期各机构Web服务出现的问题

　　首先让我们关注近期的几起网站运维事件，都是和网站运营维护有关的。

　　1. 某国内著名门户网站首页被挂马事件

　　6 月14 日，某国内著名门户网站首页于6月14 日凌晨被"挂马"（页面被嵌入恶意代码）数小时。CNCERT/CC 接到报告后，立即对事件进行了监测，发现包含该网站在内的国内多个网站，在6 月15 日凌晨再次被挂马数小时，而且被挂马网站均将用户访问跳转到http://6688.89111.cn/m42.htm，导致用户从域名89111.cn 之下多个恶意链接中下载恶意代码。CNCERT/CC 立即联系被挂马的重要网站，告知其事件有关的详细情况和分析，建议其做好安全防范工作。与此同时，因 89111.cn 域名注册人所登记的信息及联系方式都是虚假信息，CNCERT/CC 与域名注册单位取得联系，得到对方的积极支持和快速响应，按照国家有关规定关闭了该恶意域名。

　　2. 北京联众遭分布式拒绝服务攻击

　　在CNCERT/CC 的协助与支持下，北京市网监处成功破获北京联众公司遭受分布式拒绝服务攻击案。5 月11 日，北京联众公司向北京市网监处报案称：该公司自4 月26日以来，托管在上海、石家庄IDC 机房的13 台服务器分别遭受到大流量的DDoS 拒绝服务攻击，攻击一直从4 月26 日持续到5 月5 日，其攻击最高流量达到瞬时700M/s，致使服务器全部瘫痪，在此服务器上运行的其经营的网络游戏被迫停止服务，经初步估算经济损失为3460 万人民币。在CNCERT/CC 的支持与配合下，北京市网监处成功获取了犯罪团伙实施DDoS 攻击的证据，并及时将4 名犯罪嫌疑人一举抓获。

　　除此之外，还有一些民间组织、机构报告的安全事件，以下列举几个：

　　8月9日云网主站点不可访问，据分析可能和遭受黑客攻击有关。

　　8月15到16日，国内某大型银行的个人银行服务出现故障。据说是"由于15日是存款利息税下调、系统升级改造、新基金发行和拆分、养老金和工资的发放等业务集中所致"，真正原因未透漏。

　　国内某大型网上购书网的官方网站数据库账户泄漏事件。令人感到震惊的是程序出错页面里面甚至把数据库连接串和密码都打印出来了，该网使用的是 SQL Server。

　　8月11日，某国内网络安全组织发现中国某大型家电企业官方网站被挂上了木马，经过一系列的协调和处理，终于解决。

　　如上的例子还有很多，网站的运维是个高精度、高复杂度的事情，机器不能解决一切问题。当然类似的事情也不止国内有，Facebook 也出现了源代码泄漏事故。

　　政务网站面临的问题和解决方案

　　政府网站易被篡改的主要原因是网站整体安全性差，缺乏必要的经常性维护，某些政府网站被篡改后长期无人过问，还有些网站虽然在接到报告后能够恢复，但并没有根除安全隐患，从而遭到多次篡改。

　　对政务网站（运营商、政府）的维护，重点有两个方面：一是对页面的篡改，二是Web服务的提供，也就是保证网站的完整性和可用性。

　　1. 完整性安全防护

　　作为政务工程的窗口，政务网站的防篡改是第一位重要的，而目前对网站的攻击方式也层出不穷。据2007年发布的十大web安全漏洞称，基于注入技术的隐码攻击（主要指SQL注入等类型攻击行为）排名第二，是直接攻击网站的最主要手段（排名第一的XSS主要是被动式攻击，往网页中加入恶意代码，让访问者遭受攻击）。

　　那么，什么是SQL注入呢？SQL注入就是利用现有应用程序，将（恶意）的SQL命令注入到后台数据库引擎执行的能力，这是SQL注入的标准释义。

　　随着B/S模式被广泛的应用，用这种模式编写应用程序的程序员也越来越多，但由于开发人员的水平和经验参差不齐，相当一部分的开发人员在编写代码的时候，没有对用户的输入数据或者是页面中所携带的信息（如Cookie）进行必要的合法性判断，导致了攻击者可以提交一段数据库查询代码，根据程序返回的结果，获得一些想得到的数据。

　　SQL注入利用的是正常的HTTP服务端口，表面上看来和正常的Web访问没有区别，隐蔽性极强，不易被发现。