跨站脚本取代SQL注入 成Web漏洞王

　　上周恰逢中秋佳节，笑容洋溢在每个人的脸上。希望快乐的心情能够保持长效，但网络安全业内却总是循环在漏洞、补丁，再漏洞、再补丁的怪圈。也许谁都无法打破这个怪圈，因为安全永无宁日，不过庆幸的是，我们正在关注这些变化，从中帮助您解决一些实际问题，预防一些不知所措，才是我们努力的目标。

　　在51CTO安全专家梁林看来，信息安全在上周（080908至080914）总体表现不错，威胁等级较低，但仍然不能掉以轻心。他提醒企业用户应及时修补服务器的跨站脚本漏洞，以免成为黑客发起攻击的跳板。此外，梁林认为国内安全行业可根据国内企业的实际情况，制定出一套适合国情的安全度量标准，并适时提供相应的产品和服务，相信会有不小的发展空间。

　　服务器安全：跨站脚本漏洞取代SQL注入 成Web漏洞王；关注指数：高

　　新闻：9月10日，Web应用安全委员会（WASC）当天发布新的安全报告称，在经过深度的手动或自动安全评估后，占受调查网站总数97%的网站都存在许多安全漏洞。该报告一共调查了超过32000个Web站点，使用了基于黑盒白盒原理的手动和自动化安全测试方法，并整合了来自BAH、BT、HP和WhiteHat Security等多家安全厂商的匿名网站测试数据。调查中还发现Web网站存在最多的安全漏洞仍然是跨站脚本、信息泄漏和SQL注入，分别占了漏洞总数的41%、32%和9%。

　　分析：WASC最新报告所透露的消息中，最值得使用Web服务器的企业和用户关注的有两点： 目前Web网站存在最多的前三个安全漏洞仍然是跨站脚本、信息泄漏和SQL注入，但这三种漏洞的所占比例与之前几年报告公开的已有不同，跨站脚本漏洞取代SQL注入成为Web网站上出现最多的漏洞。

　　另外，报告中还提到所用的基于黑盒白盒的手动和自动化安全测试方法，效率比传统的用扫描工具执行的Web服务器安全检查高出不少。目前企业中普遍使用商业或免费的扫描工具对自己的Web服务器进行安全漏洞检测和审核，扫描的效率不高。由于最近一段时间在互联网上出现了新一轮的SQL注入攻击浪潮，企业的网站大都进行了对应的加固，而一直没有得到太多关注的跨站脚本漏洞，则因为表面上看来威胁较低，也很少有企业刻意去修补。

　　梁林认为：尽管自动化的扫描工具能够有效的发现Web服务器上存在的漏洞，但企业仍需要要求管理员或采取外包的形式，手动对Web服务器进行安全审核，尽量减少潜在的安全威胁。随着当前黑客利用跨站脚本发起的攻击越来越多，企业也应及时修补Web服务器上发现的跨站脚本漏洞，以免成为黑客发起攻击的跳板。

　　安全研究：互联网安全中心将推出用于衡量安全程度的指标；关注指数：高

　　新闻：9月8日，非营利组织互联网安全中心（Center for Internet Security）计划推出一系列的用于衡量企业安全程度的指标，以帮助企业和组织判断IT设施的安全性。为了推出这一系列指标，互联网安全专项召集了超过80名来自政府、研究和企业的安全专家，这系列指标推出之后，企业组织将能够更有效的评估目前使用的安全策略及安全产品的有效程度。作为对这系列指标的补充，互联网安全中心还将在今年晚些时候推出一个基于软件评估的安全服务，为其客户提供针对匿名的跨组织安全状态比较等数据。

　　分析：在进行信息安全项目时，企业的传统做法是在项目前期阶段对拥有的信息资产进行分类，对可能面临的安全威胁和风险进行评估，再根据评估结果确定是否部署一个信息安全策略或安全产品。但对于企业安全策略和产品部署后的实施监控，以及安全策略和产品的效能衡量，目前市场上还没有一个被广泛接受的标准和指标。

　　尽管现在不少安全厂商在推销自己产品时，也会提供若干体现产品效能的指标，但这些指标大多针对产品本身，而不是从用户的角度来描述部署后的效能。因此，企业在实施安全项目之后，大多是根据项目实施的经验，对项目进行改进，无法有效的将安全项目的提升和改进纳入到企业业务发展方向中去。

　　梁林认为：目前国内企业在安全项目实施后的度量上比国外企业更为欠缺，相当多的企业甚至连实施项目后基本的安全审计都没有进行过。国内安全行业可根据国内企业的实际情况，制定出一套适合国情的安全度量标准并适时提供相应的产品和服务，相信会有不小的发展空间。