拒絕“躺著中槍” 360網(wǎng)站安全新增“旁注”檢測(cè)
一直以來(lái),很多網(wǎng)站站長(zhǎng)都有這樣的疑問(wèn):為什么用了專業(yè)的Web安全服務(wù)和“防注”程序,使用Web安全掃描器也沒(méi)有發(fā)現(xiàn)漏洞,但網(wǎng)站依然會(huì)被黑?
其實(shí),這種情況大多來(lái)自“旁注”攻擊。也就是說(shuō),黑客攻擊同一服務(wù)器上其他存在漏洞的網(wǎng)站,并獲取服務(wù)器最高管理員權(quán)限,進(jìn)而對(duì)目標(biāo)網(wǎng)站形成威脅。對(duì)此,360網(wǎng)站安全檢測(cè)近日進(jìn)行了專項(xiàng)升級(jí),加入“旁注”檢測(cè)功能,直觀的告訴站長(zhǎng)自身網(wǎng)站所在服務(wù)器的整體安全情況,為站長(zhǎng)選擇安全的主機(jī)服務(wù)商提供重要依據(jù)。
360網(wǎng)站安全檢測(cè)平臺(tái)服務(wù)網(wǎng)址:http://webscan.#
據(jù)了解,“旁注”一般以虛擬主機(jī)作為攻擊對(duì)象。其原理是利用同一主機(jī)上其他站點(diǎn)的安全漏洞,獲取服務(wù)器上的一個(gè)Webshell(Web后門程序),從而獲取一定的服務(wù)器操作權(quán)限,進(jìn)而利用虛擬目錄權(quán)限的配置不嚴(yán)格或者“提權(quán)”攻擊獲取管理員權(quán)限后,再跳轉(zhuǎn)到目標(biāo)網(wǎng)站的Web虛擬目錄中,實(shí)現(xiàn)竊取信息,篡改內(nèi)容的操作。
“‘旁注’攻擊看似曲折,卻非常有效?!?60網(wǎng)站安全工程師表示?!昂芏嗾鹃L(zhǎng)出于省錢的考慮,從而選擇成本較低的虛擬主機(jī)服務(wù),而提供商會(huì)在一臺(tái)或多臺(tái)服務(wù)器上為站長(zhǎng)分配一定的硬盤與數(shù)據(jù)庫(kù)等存儲(chǔ)資源,不過(guò)服務(wù)器與服務(wù)都是共享的,這就造成了‘一漏百漏’的安全隱患。黑客在攻擊目標(biāo)網(wǎng)站無(wú)果時(shí),通常會(huì)采用這種曲線方式多次嘗試?!?/P>
圖1:黑客可通過(guò)一些查詢網(wǎng)站輕易獲得目標(biāo)站點(diǎn)信息
那么,黑客如何得到同一主機(jī)上其他的站點(diǎn)信息呢?原來(lái),目前網(wǎng)絡(luò)上存在很多通過(guò)主機(jī)IP反向查詢綁定域名情況的站點(diǎn),比如國(guó)外十分有名的WebHosting,以及國(guó)內(nèi)的一些類似站點(diǎn),黑客獲取站點(diǎn)信息可謂輕而易舉。
可見(jiàn),站長(zhǎng)可以為自己的網(wǎng)站打造安全的防御機(jī)制,但是卻無(wú)法控制虛擬主機(jī)提供商,及同服務(wù)器的其他網(wǎng)站的安全。如今隨著360網(wǎng)站安全檢測(cè)“旁注”風(fēng)險(xiǎn),這個(gè)難題得以迎刃而解。
圖2:360網(wǎng)站安全檢測(cè)新增“旁注”檢測(cè)功能
通過(guò)360網(wǎng)站安全檢測(cè)服務(wù),站長(zhǎng)可以查詢網(wǎng)站所在的虛擬主機(jī)上是否有其他域名存在安全風(fēng)險(xiǎn)(圖3)。一旦發(fā)現(xiàn)自身網(wǎng)站可能遭到“旁注”攻擊,站長(zhǎng)可以督促虛擬主機(jī)提供商進(jìn)行防范,或者選擇安全性更高的虛擬主機(jī)提供商。
圖3:同一虛擬主機(jī)安全性一目了然
360安全專家表示,Web安全是一個(gè)整體,它不僅僅是由于單純的Web漏洞所導(dǎo)致,還有很多類似“旁注”攻擊這樣的安全隱患所影響,360網(wǎng)站安全檢測(cè)平臺(tái)會(huì)逐步的完善Web安全檢測(cè)策略,為廣大網(wǎng)站提供360度的安全保障。
360網(wǎng)站安全檢測(cè)平臺(tái)服務(wù)網(wǎng)址:http://webscan.#
評(píng)論