安全专家几个月来一直警告称,在线非法行为已经取得了巨大的成功,针对Web应用程序安全漏洞实施的攻击取得了巨大的利润。
Fortify Software软件公司对此发表的一篇新的报告显示,bots(僵尸电脑)和类似Google的搜索引擎已经成为Web应用程序攻击者不可缺少的工具。这篇报告还显示,攻击者的手段更高级了而且更难跟踪了。
从今年1月初至6月底,位于加州Palo Alto的安全软件厂商Fortify Software软件公司收集了使用其应用程序防御产品的企业IT环境中的数据。该公司的产品能够保证基于J2EE的应用程序的安全。这个最终结果的报告概括地介绍了四个趋势:
·针对Web应用程序实施的攻击有一半利用Bots。
·攻击者使用Google和其它搜索引擎发现Web应用程序的漏洞。
·直接的攻击越来越高级了。
·攻击者在全球各地实施攻击,更容易掩盖其踪迹。
Bots对Web应用程序发起攻击
在过去的6个月里,50%至70%针对Web应用程序的攻击是由Bots发动的。Bot网络搜索已知的安全漏洞。
这篇报告称,这些自动的探测活动找出应用程序中没有保护的或者没有使用补丁的组件,然后成功地发出它们的恶意代码。这个效果就像暴风雨袭击一片大地:这种探测活动在整个互联网上进行,不停地攻击Web应用程序。
例如,仅在一个星期里,Fortify监视到了应用程序遭到了来自不同的IP地址发动的7种不同类型的攻击,这些攻击产生了52次要访问.php文件的结果。这篇报告称,考虑到攻击的频繁程度和内容,这些攻击很可能是被蠕虫感染的计算机发动的。这些被蠕虫感染的计算机定期发动这种自动攻击。
Fortify首席科学家Brian Chess表示,他最惊奇的是发现这些bots为了掩盖其攻击制造了多少无用的数据。如果你是一位IT管理员的话,这个bot正在发出许多掩盖其真正活动的数据。在你观察这些无用的数据一段时间之后,你会感到厌烦并且走开。你也许不会发现真正的破坏活动。
坏蛋还使用Google
这篇报告称,在Fortify监视的全部安全事件中,有20%的安全事件是由于攻击者访问了Google等搜索引擎中存储的网站安全漏洞的信息的结果。因为搜索引擎收集了它们索引的每一个网站的丰富的信息。如果一个网站意外暴露了敏感的信息或者暴露了存在的安全漏洞,那么,Google为这个网站制作索引的时候就会包含这些安全漏洞的证据。
例如,如果一个网页被攻破,一个Web应用程序也许会报告类似堆栈跟踪的诊断信息。网络窃贼能够利用那个信息描绘出一个有安全漏洞的应用程序的组件和内部结构,然后对这个目标实施攻击。
Chess说,令那些使用我们产品的人们最感到意外的是Google等搜索引擎暴露的他们网站错误的数量。当Google等搜索引擎对这些信息做索引的时候,攻击者能够从Google中发现你,就像好人从Google中找到你一样。
攻击更高级更普遍
针对具体应用程序实施的攻击似乎不太频繁了。但是,Fortify发现,这些攻击更高级了,对被攻击的网站来说危险性更大了。在直接的攻击中最常用的攻击技术是跨网站脚本、SQL注入和缓存溢出。
Fortify的研究报告还显示,这些攻击来自于美国、中国、波兰、澳大利亚和其它许多国家。攻击者继续使用匿名技术和代理服务器掩盖对Web应用程序实施攻击的真实位置,反应了他们“隐身”的性质。
这篇报告称,这些坏蛋还有许多种技术来掩盖其踪迹,如隐藏在代理服务器后面或者隐藏在一连串的代理服务器的后面。
这篇报告称,人们一直在开发各种匿名技术,以便很难确定一个互联网连接的来源。从好的方面说,这种技术可防止政府对政治反对派的镇压。从坏的方面说,恶意黑客可以利用这些技术攻击其它计算机而不被抓到。
Chess说,Web应用程序的攻击大多数来自于美国。但是,他补充说,我们真的不知道这些攻击者实际上在什么地方。