網站安全認證不靠譜,“安全網站”更容易遭黑
責編:admin |2014-12-08 18:52:19近日科學家們對提供安全網站認證標志的十家知名安全服務商的認證服務進行了深入研究后發現,安全網站認證服務存在普遍的嚴重缺陷。
所謂網站安全認證服務,就是安全服務商每日針對網站/外圍網絡的漏洞進行測試、查找、訪問和管理漏洞的安全掃描,并根據一系列標準提供安全修復方案,為值得信賴的網站 提供安全認證標志。
有些知名的網站安全認證如還會和搜索引擎合作,為有網站安全 認證標志的網站提供綠色安全圖標,確保訪問者對網站的信心。
目前國外比較知名的提供網站安全認證服務的企業包括賽門鐵克、McAfee、Trust-Guard、Qualys等安全廠商,獲得“安全網站”認證標志的收費標準通常在100-2000美元之間。
我們在電商、金融、資訊類網站上常見這些安全認證標志(小盾牌、小鎖之類的圖案),這也許能給消費者帶來一些安全感,但是,獲得這些安全認證服務的網站真的就不會(容易)被黑嗎?事實恰恰相反,近日國外科技網站TheRegister和Arstechnica先后撰文指出,網站安全認證標志并不能“辟邪”,反而更容易被黑客攻破。
近日科學家們對提供安全網站認證標志的十家知名安全服務商的認證服務(下圖)進行了深入研究后發現,安全網站認證服務存在普遍的嚴重缺陷。
網站安全認證服務對比
在一份《揭秘第三方安全認證標志生態系統》(點擊文章尾部鏈接下載)的報告中,科學家們指出目前的安全網站認證服務的缺陷主要表現為以下兩方面:
首先,安全認證服務的漏洞掃描不靠譜。科學家們實測發現安全認證服務的掃描器無法發現很多嚴重的安全漏洞。
在另外一組試驗中,研究者架設了一個包含12個已知漏洞(例如SQL注入、CSRF、XSS等),然后購買了8家安全網站認證廠商的服務,其中表現最佳的安全認證服務也會漏掉超過一半的已知網站安全漏洞,很多安全認證服務的漏洞掃描甚至連Virus Total這樣的公開庫中的惡意軟件都無法識別。
其次,安全認證網站更容易遭黑。科學家們通過滲透測試發現獲得安全網站認證標志的網站,黑客只需不到一天時間就可找到漏洞,更加讓人震驚的是,研究者發現由于有了安全網站認證標志的存在,攻擊者反而更容易鎖定安全漏洞,換而言之,“安全網站”更容易遭受黑。這要“感謝”安全認證廠商給黑客的提示。
因為當一家獲得過安全認證標志的網站因漏洞太多未能通過最新的檢測,或者合同到期后,安全認證服務商不會把安全網站認證從客戶網站上拿掉,而是采取改變認證標志尺寸或對標志做透明化處理,當黑客覺察到一家網站存在“隱形”安全標志,或者安全認證標志有異樣時,基本可以確定這家網站一定存在很多容易得手的漏洞。
此外,黑客還可以架設實驗網站,購買多家安全認證服務,然后采用同樣的安全檢測方法去掃描那些安全標志有異常的網站,從而快速確定目標網站的漏洞和攻擊優先級。