50亿美元。这家已有15年历史的公司怎么也没想到，居然有安全恶意侵入了它的电脑系统，窃取了4000万张信用卡的资料。这些资料包括持卡人的姓名、账户号码等。这是美国有史以来最严重的信用卡资料泄密事件。此次攻击事件不仅仅对消费者，对公司造成了巨大的损失，甚至对美国的信用卡产业产生了严重的影响！11Web安全的认识误区然而什么才是Web安全呢，或者说什么样的网站才是安全的呢？用户往往有一些常见的误区。“Web网站使用了防火墙，所以很安全”网站使用了防火墙，所以很安全无论是应用级还是端口级的防火墙针对的都是网络层面的攻击，通过设置可访问的端口或者应用，把恶意访问排除在外，然而如何鉴别善意访问和恶意访问是一个问题。访问一旦被允许，后续的安全问题就不是防火墙能应对了。“Web网站使用了IDS，所以很安全，所以很安全”通过模式识别对网络层面的攻击做出防护措施。然而类似于防火墙，通过利用程序漏洞，通过正常连接进行攻击的访问无法被识别和处理。“Web网站使用了SSL加密，所以很安全网站使用了加密，所以很安全”SSL对网站发送和接收的信息都进行加密处理，然而SSL无法保障存储在网站里的信息的安全和网站访问者的隐私信息。采用64位甚至128位SSL加密的网站被安全攻陷的例子举不胜举。“漏洞扫描工具没发现任何问题，所以很安全”漏洞扫描工具没发现任何问题，所以很安全漏洞扫描工具没发现任何问题当前漏洞扫描工具已经被广泛使用去查找一些明显的网络安全漏洞。同理，扫描工具无法对网站应用程序进行检测，无法查找应用本身的漏洞。“我们每季度都会聘用安全人员（Pe
Tester）进行审计，所以很安全我们每季度都会聘用安全人员（我们每季度都会聘用安全人员）进行审计，所以很安全”人为的检测考察不仅仅效率低，不可控因素也较多，同时对于代码变更频繁的今天，TesterPe
也无法满足全面的安全需求然而这些方法远远不能保障Web应用的安全，针对应用层面的攻击可以轻松的突破防火墙保护的网站。例如：最为常见的SQL注入攻击表现层面完全是正常的数据交互查询。对于防火墙或者入侵检测系统而言，这是最为正常的访问连接，没有任何特征能够说明此种访问连接存在恶意攻击。所以，一些简单的SQL注入语句就可以使得装备昂贵网络安全设备的网站被轻松攻破。
第3页共12页9302010Page3Total12
f12
Web安全现状
令人惊诧的是，几乎所有关注Web安全领域的人都会存在着上面我们阐述的误区，而当前Web的安全现r