网站安全还需修炼“内功”

通过输入用户名和密码来登入网站，这是当今最常用的一种网站应用了。然而对于那些没有经过安全验证的网站来说，这却给黑客留下了一个后门。黑客会在用户名一栏中输入一段代码，从而进入后台数据库，窃取信息。

除此以外，通过修改URL中的一些参数来轻松地得到需要的信息也是黑客常用的一种手段。但是，这两种手段只是黑客最简单的攻击方式，近日，IBM了其2007年度X Force安全性报告调查结果，表明日前全球范围内针对Web浏览器的攻击正日益复杂化。

同时，网站近几年来面临的攻击数量也成几何级数增加。两年前，像“跨站脚本”和“SQL注入”这样的攻击还并不被大众所知，而如今，这两种专门针对web应用(HTML／HTTP、XML／SOAP)的攻击已被列入了五大最常用的黑客技术名单。

网站攻击正在日益增多和复杂化，但是对于网站安全的防范却是安全领域里最薄弱的一环。IBMRational软件品牌亚太区安全总监Anthony Lim介绍说，传统的网络安全方案，例如防火墙、病毒扫描、IDS都是底层架构的解决方案，属于网络层面的安全问题，他们处理的是IP协议的访问，这些方案经过十多年的发展可以说已经相当成熟。

Web攻击利用的切入点正是web会话或web服务，不过对它们的保护一直缺乏有效的方案，甚至Web应用安全至今还没有得到充分的认识，许多业内人士对这个问题也是一知半解。Anthony认为导致这种现象产生的原因是网络安全人员和应用开发人员之间出现知识和关注的断层。对于传统的网络安全人员来说，他们只关心网络方面的安全，而不懂开发；对于传统的网站开发人员来说则缺乏安全知识，这就使得Web的安全问题很少得到充分的关注。

对于如何进行Web安全防范，Anthony认为，确保Web应用安全的最好办法就是保证代码质量，尽可能消除那些可能被黑客利用的安全隐患，这被Anthony形象地比喻为网站的“内功”。

对于网站来说，最重要的就是用户的体验，网站必须能够毫无障碍地与用户互动，因此传统上那种提供一个厚厚的盔甲和盾牌，拒敌于千里之外的方法不适宜在网站上应用。对网站来说，这种“内功的修炼”成为安全和用户体验两全其美的最好方式。

Watchfire是最早从事Web安全领域的公司之一，2006年6月，Watchfire被IBM收购，其旗舰产品AppScan也被整合进IBM的Rational产品线，更名为RationalAppscan。

作为前Watchfire亚太区管理总监，Anthony说AppScan可以帮助网站在开发阶段进行质量管理。通过对Web应用进行扫描，AppScan可以给出一个全面的检查报告，指出存在哪些漏洞，都出现在什么地方，更重要的是它还会给出修改建议。

这对开发人员来说无疑是一个利器，对于程序员来说，他们常常被紧张的开发搞的焦头烂额，根本抽不出足够的时间来进行安全方面的检查，同时也没有足够的能力来做到这些，而AppScan则可以轻松地做到这些。另外，它的背后有一个庞大的数据库支持，这个数据库记录了多年来出现的所有Web攻击手段，同时最新的攻击手段也会被以最快的速度更新进去。不过Anthony也提醒开发人员，质量检测是一个长期的工作，在网站的每次变动后，都必须进行重新的检查，这样才能真正确保网站的安全。