納斯達克的Web安全攻防戰(zhàn)

《納斯達克的Web安全攻防戰(zhàn)》由會員分享，可在線閱讀，更多相關(guān)《納斯達克的Web安全攻防戰(zhàn)（6頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、 納斯達克 (Nasdaq) 是全美證券商協(xié)會自動報價系統(tǒng) (NationalAssociationofSecuritiesDealersAutomatedQuotations) 的英文縮 寫，如今，這個系統(tǒng)的名字已成為股票交易市場的代名詞。 信息和服務(wù)業(yè)的興起催生了納斯達克，始建于 1971 年的納斯達克，讓股 票交易從此走入完全電子化并用電子化系統(tǒng)實現(xiàn)自我監(jiān)管的時代。 如今，納斯達 克更已成為全美， 乃至全世界范圍內(nèi)最大的股票電子交易市場， 不僅每天要收集 和發(fā)布場外交易非上市股票的證券商報價， 還要為 52

2、00 多家上市公司服務(wù)，在 55 個國家和地區(qū)設(shè)有 26 萬多個計算機銷售終端。 納斯達克擁有數(shù)以億計的有價數(shù)據(jù)，它對網(wǎng)絡(luò)黑客來說就像一個聚寶盆。 10 年來，幾乎全球的黑客都在想方設(shè)法侵入納斯達克的網(wǎng)站。技術(shù)精良的納斯達克？ 納斯達克的網(wǎng)站， 一向被人們認為是世界上安全保障體系最嚴格的網(wǎng)站之 一。從建設(shè)之初，華爾街就一直以納斯達克所采用的精良技術(shù)為傲。然而，近十 年來，納斯達克遭遇黑客攻擊的消息卻總是不斷傳出。 1999 年 9 月，納斯達克和美國證券交易所兩個網(wǎng)站首度遭到黑客攻擊。 屆時，美國證券交易所

3、剛剛被納斯達克收購。一個自稱“聯(lián)合貸款槍手” (U 的組織在午夜時分成功地侵入了這兩個證交所的網(wǎng)站。 雖然當時黑客并沒有對系統(tǒng)中的財經(jīng)數(shù)據(jù)采取任何行動， 但是黑客組織卻 在網(wǎng)站上留下了一條令人震驚的消息， 他們打算“操縱股市暴漲， 讓所有的投資 者都感到高興，在他們的汽車上都貼上一張紙條，上書：感謝 ULG! ” 該組織聲稱，他們已在納斯達克的系統(tǒng)中為自己建立了一個電子郵件信 箱，并宣告納斯達克的網(wǎng)站還存在很多漏洞。 而當時，納斯達克每天的成交量已 多達 8 億股。 雖然納斯達克網(wǎng)站的安

4、全問題立即引起了華爾街的重視， 并且也隨之部署 了更多的安全設(shè)施。但是，時隔一年，納斯達克便再次遭到了黑客的入侵。 一個自稱“ PrimeSupectz ”的黑客，闖入了納斯達克網(wǎng)站 () ，將“納斯達克一百指數(shù)”所在的位置換成了一句粗話。這場破 壞，也令納斯達克陷入了尷尬境地， 因為一向被認為技術(shù)精良的納斯達克， 在一 年多的時間內(nèi)，網(wǎng)站卻遭遇到兩次黑客侵襲。 而去年 7 月，紐約證交所以及納斯達克公司的主網(wǎng)站又遭到了兩次連續(xù)的 黑客攻擊。這兩次攻擊令紐約證交所的電腦系統(tǒng)發(fā)生了多次故障， 黑客不僅發(fā)布了美國國際集團

5、將退市等錯誤通告，還讓交易系統(tǒng)的交易延長了 15 分鐘。 專家指出，如果盲目假設(shè)互聯(lián)網(wǎng)上最受歡迎或是交易量最大的網(wǎng)站安全性 一定就高，本身就是錯誤的想法。 人們常常以為一個知名度高的網(wǎng)站必定擁有水 平更高超的安全專家，但實際情況是，黑客總在不斷努力采用新的技術(shù)實施攻擊， 而網(wǎng)站安全體系的變革卻總是落后于黑客。 我們必須看清， 納斯達克的安全風(fēng)險 已經(jīng)轉(zhuǎn)向 Web 應(yīng)用的漏洞，被動的安全技術(shù)更難以解決今天的問題。 風(fēng)險來自哪里？ 事實上，為了保障數(shù)據(jù)的安全和用戶的隱私權(quán)，很早納斯達克便建立了以 防火墻及安全訪

6、問管理機制為核心的安全體系。 然而，現(xiàn)有的安全防護措施主要 通過 SSL 安全代理、防火墻、 IDS/IPS 、軟件防火墻或是防病毒等工具來解決問 題。由于這些安全防護措施自身的局限性， 導(dǎo)致網(wǎng)站難于應(yīng)對日新月異的安全攻 擊，特別是目前基于正常 WEB 訪問而發(fā)起的 WEB 應(yīng)用攻擊手段。所以，像納 斯達克這類安全體系相對健全的網(wǎng)站，近年來也免不了不斷遭遇安全攻擊。 據(jù)梭子魚相關(guān)技術(shù)人員介紹， Web 應(yīng)用的安全風(fēng)險當前要遠遠大于人們 過去的認知。首先在服務(wù)器端， 黑客往往會利用支付或者查詢系統(tǒng)自身存在的安

7、 全漏洞來侵入系統(tǒng)。 比如，基于 WEB 應(yīng)用的 SQL 注入攻擊，基于數(shù)據(jù)庫應(yīng)用的 OracleLinstener 攻擊，以及基于操作系統(tǒng)的緩沖區(qū)溢出攻擊等方式，早已成為 黑客集團的慣用伎倆。 此外， SSL 安全代理主要依賴的是瀏覽器的正確實現(xiàn)以及服務(wù)器軟件和實 際加密算法的支持，對于現(xiàn)在的一些攻擊手段，如跨站攻擊、 SQL 注入以及數(shù) 據(jù)監(jiān)聽等， SSL 從技術(shù)上來講是無可奈何的。 而傳統(tǒng)防火墻只能檢測網(wǎng)絡(luò)層的攻擊， 根本無法阻攔來自網(wǎng)絡(luò)內(nèi)部的非法 操作，更無法動態(tài)識別或自適應(yīng)地調(diào)整規(guī)則。 而編程習(xí)慣造成的

8、眾多漏洞， 更是 等于為黑客敞開了通向網(wǎng)站“金庫”的大門。 “由于技術(shù)局限性， 大多 IDS 產(chǎn)品也只能進行已知的特征檢測。 由于這類 設(shè)備對數(shù)據(jù)層的信息缺乏深度分析， 本身的誤報、漏報率就很高，使得 IPS 的處 理效率低下，同時它也沒有對 Session 或 User 的跟蹤，根本不能保護 SSL 流 量?！彼笞郁~技術(shù)人員告訴記者。 再者，不管是防病毒軟件還是防火墻，采用的都是被動檢測機制，它們只 能檢測到已知的病毒或木馬， 對于外部的正常訪問請求更是無法識別， 所以基于 這兩類安全工具構(gòu)建的網(wǎng)站安全體系，

9、根本無法實現(xiàn)對合法訪問的“篩選”。 其次在客戶端，大多用戶的個人電腦其實也并不安全。用戶對網(wǎng)絡(luò)風(fēng)險的 不警覺以及用戶個人賬號密碼存放的不安全， 都可能導(dǎo)致惡意攻擊者， 利用遠程 木馬或是釣魚網(wǎng)站獲取用戶的個人賬號及密碼，最終損害客戶的直接利益。 所以， Web 安全問題近些年已成為交易類網(wǎng)站的最大風(fēng)險源，而且有逐 年飛速增長的勢頭。 為納斯達克把脈 反觀納斯達克的 Web 安全隱患，梭子魚發(fā)現(xiàn)即使是納斯達克這樣技術(shù)精 良的網(wǎng)站，依舊存在不少風(fēng)險。 對于十種黑客慣用的應(yīng)用程序漏洞， 納斯達克網(wǎng)

10、 站的防護能力也非常薄弱。 第一，緩存溢出。由于應(yīng)用程序的編碼會嘗試將應(yīng)用數(shù)據(jù)存儲于緩存中， 而不是正常的分配， 這種漏洞往往被黑客所利用， 變?yōu)楣羰侄巍?因為借助這種 錯誤，惡意代碼就可以溢出到另外一個緩存中去執(zhí)行。 第二 .跨站點腳本攻擊。攻擊類型的代碼數(shù)據(jù)可以 *入到另外一個可信任區(qū) 域的數(shù)據(jù)中，最終導(dǎo)致使用可信任的身份來執(zhí)行攻擊， 這種攻擊方式也是黑客慣 用的伎倆。 第三，服務(wù)拒絕攻擊。這種攻擊會導(dǎo)致服務(wù)沒有能力為正常業(yè)務(wù)提供服務(wù)。 第四，異常錯誤處理的風(fēng)險。當錯誤發(fā)生時，系統(tǒng)向用戶提交錯誤

11、提示是 很正常的事情， 但是如果提交的錯誤提示中包含了太多的內(nèi)容， 就有可能會被攻 擊者分析出網(wǎng)絡(luò)環(huán)境的結(jié)構(gòu)或配置。 第五，非法 sessionID 。當 sessionID 沒有被正常使用時，攻擊者還可以 借機破壞 Web 會話，并且實施多個攻擊 (通過冒用其他的可信任的憑證 )，借此 來繞開認證機制。 第六，命令注入。這一問題的風(fēng)險是，如果系統(tǒng)沒有成功的阻止帶有語法 含義的輸入內(nèi)容，就有可能導(dǎo)致對數(shù)據(jù)庫信息的非法訪問。比如，在 Web 表單 中輸入的內(nèi)容 (SQL 語句 )，應(yīng)該保持簡單，并

12、且不應(yīng)該還有可被執(zhí)行的代碼內(nèi)容。 第七 .弱認證機制的隱患。 雖然只要通過正確的開發(fā) Web 應(yīng)用就可以輕而 易舉的避免此問題，但是在眾多已經(jīng)在線使用的應(yīng)用中，這類問題卻十分嚴重。 而一旦黑客利用弱認證機制或者未加密的數(shù)據(jù)來獲得訪問， 或是破壞、控制數(shù)據(jù)， 就會造成非常嚴重的影響。 第八，未受保護的參數(shù)傳遞風(fēng)險。由于利用統(tǒng)一資源標識符 (URL)和隱藏 的 HTML 標記可以傳遞參數(shù)給瀏覽器，所以瀏覽器在將 HTML 傳回給服務(wù)器之前，是不會修改這些參數(shù)的。利用這一破綻的黑客工具現(xiàn)在也比比皆是。 第九，不安全的存儲 - 對

13、于 Web 應(yīng)用程序來說，妥善的保存密碼， 用戶名， 以及其它與身份驗證有關(guān)的信息是非常重要的工作。 對這些信息進行加密才是最 有效的方法。 然而，在實際操作過程中。 大多企業(yè)卻總是采用那些未經(jīng)實踐驗證 的加密解決方案，這些方案本身就充滿了漏洞。 第十，非法輸入。在數(shù)據(jù)被輸入程序前忽略對數(shù)據(jù)合法性的檢驗，是一個 常見的編程漏洞。在對 Web 應(yīng)用程序脆弱性的調(diào)查中，非法輸入問題已經(jīng)成為 大多數(shù) Web 應(yīng)用程序的最典型漏洞之一。 用“透明人”完成 Web 安全防護 經(jīng)過一番研究，梭子魚為納斯達克提出了一套更

14、完善的 Web 安全解決方 案。 首先，梭子魚采用了專業(yè)的應(yīng)用防火墻，為納斯達克的 Web 服務(wù)器和 Web 應(yīng)用提供全面的保護。和傳統(tǒng)防火墻不同，梭子魚應(yīng)用防火墻既可防范已 知的對 Web 應(yīng)用系統(tǒng)及基礎(chǔ)設(shè)施漏洞的攻擊， 也能抵御住惡意攻擊或是目標攻 擊。通過梭子魚應(yīng)用防火墻的專利技術(shù)， 納斯達克的網(wǎng)站還能對 HTTP 請求進行 終止、防護和加速的操作。 此外，梭子魚產(chǎn)品的動態(tài)學(xué)習(xí)功能，可以自主的與納斯達克網(wǎng)站的 Web 服務(wù)器互相通信， 實時地自動學(xué)習(xí)和策略建模。 由于梭子魚應(yīng)用防火墻具備實時 策略向?qū)Чδ埽?能夠協(xié)助管理員自定義策略， 同時讓管理員對當前的策略擁有完 全的掌控權(quán)，所以所有違背 ACL 的行為都可以被納斯達克的網(wǎng)絡(luò)管理人員捕捉 到。 由于通過使用緩存、壓縮、 TCP 連接復(fù)用、負載均衡等各種技術(shù)對后臺 Web 服務(wù)器進行了流量的優(yōu)化，所以部署在納斯達克的 Web 服務(wù)器前端的梭 子魚應(yīng)用防火墻對用戶的體驗沒有造成任何影響，就像是個“透明”的安全衛(wèi) 士。在管理過程中， 增減設(shè)備對網(wǎng)絡(luò)幾乎完全沒有影響。 這為納斯達克在將來對 網(wǎng)站的擴容帶來了極大的益處。