Web2.0：带来便捷的同时也带来了新的网站漏洞

ZDNet安全频道原创翻译 转载请注明作者以及出处

一份新调查报告展示出网站领域正在发生的变化。不过，它的内容并不是我们最想听到的。
-------------------------------------------------------------------------------------------

　　基于网络的恶意软件这一主题，Websense安全实验室每年会发布两次调查报告。根据他们最新发布的报告，现实情况并不是十分令人满意。原因如下：

　　· 在过去6个月中，恶意网站的数量增长了233%，而在过去的一年中，则增长了671%。

　　· 在合法网站中，有77%的受到恶意代码的攻击，并造成了损害。

　　· 在网络日志、聊天室和留言板的内容中，有95%的是垃圾邮件或恶意工具。

　　· 有57%的数据窃取攻击都是通过网上进行。

　　· 在不必要的电子邮件中，有85%的包含了垃圾或恶意网站的连接。

　　数据采集

　　Websense使用自己的ThreatSeeker网络，来收集有关受到破坏网站的数据。该网络包括5000万个实时数据采集点，每个点都具有监测网络和电子邮件中恶意代码的能力。该系统功能强大，每小时可以扫描4000万家网站和10万封电子邮件。

　　网络威胁总体展示

　　为了了解最吸引网络罪犯的是哪些类型的网站，Websense公司创建了网络威胁总体展示(Threat　Webscape)。这是他们对受到恶意软件威胁的网站进行分类的方法。所有网站被分为三种类型：

　　· 最常访问的一百个网站，通常是“社会化网络”或者“搜索”类网站。

　　· 接下来是经常访问的的一百万个网站，主要是各种内容和新闻类网站。

　　· 其余的网站，通常是商业网站、网络日志和个人网站。

　　关注的重点是一百个最常访问的网站。他们拥有流量，而这正是坏家伙最喜欢的。同样令人感兴趣的，是这些流行网站存在的共同点：

　　· 在最常访问的一百个网站中，超过47%的支持用户生成内容。

　　· 在最常访问的一百个网站中，有61%的可以实现放置恶意内容或者伪装的重定向连接从而将不知情的受害者从合法的网站吸引到恶意网站。

　　典型的例子

　　Websense没有足够的时间来完善报告，让它的内容变得更全面。在过去的这个星期里，就有几个高知名度的网站受到损害的例子。下面的内容来自纽约时报的描述：

　　“在上星期末，纽约时报网站的部分用户遇到了一个令人厌恶的意外。一个不知名的个人或者团体在网站上偷偷发布了一则恶意广告。”

　　就在笔者写作本文的时间，我们ZDNet记者的报道显示美国公共电视网的官方网站PBS.org也同样受到影响：

　　“PBS.org网站的一些常用部分被一名黑客通过危险的鸡尾酒攻击劫持。”

　　作为受信任的网站，它们不会引起很大的怀疑。这使得借助这两个网站的恶意软件变成了非常有效的工具。

　　Web 2.0的优势和缺陷

　　从上面的信息中，我们可以看出，在最常访问的一百个网站中有超过一半的使用了基于Web　2.0的应用。它们之所以很受欢迎，是因为任何人都能够创建让大众观看的内容。类似Facebook和Twitter之类的网站就是典型例子，我们知道它们是多么的成功。

　　Web　2.0技术还增加了服务被滥用的可能。由于Web　2.0网站采用的是动态自动更新，这为网络犯罪分子进行攻击提供了更多的机会。

　　举例来说，安全研究员罗恩·齐尔伯曼就发现Facebook网站上存在一个严重漏洞。如果受到攻击，该漏洞就会允许黑客窃取个人资料、图片和可信任的朋友名单。齐尔伯曼在个人网站上对攻击原理进行了说明，攻击者可以在没有成员信息的情况下，利用跨站点请求伪造(CSRF)诱骗访问者的计算机从而获得相关信息。

　　传播的途径

　　对于恶意软件来说，人们的意外访问或者被电子邮件中的信息吸引，依然是非常有用的办法。但对于网络犯罪分子来说，影响真正的网站可以说是一个双赢的方法。他们再也不用担心可疑的网络地址和显示的页面了。

　　专家们正在密切关注受到损害的合法网站的数量。截至2009年6月，Nine-ball已经渗透到超过四万家网站中。盖博拉“Gumblar”，则已经破坏了超过七万家网站。在下面的图片(Websense提供)中，我们可以看到Nine-ball是怎么传播的：

　　总 结

　　不言而喻。对事件作出妥协总是能得到更好的结果。作为用户，我们唯一的选择就是保持计算机操作系统及应用软件的及时更新，这样做就可以防止恶意软件利用控制的合法网站找到立足点。