網(wǎng)站安全認(rèn)證不靠譜,“安全網(wǎng)站”更容易遭黑
責(zé)編:admin |2014-12-08 18:52:19近日科學(xué)家們對(duì)提供安全網(wǎng)站認(rèn)證標(biāo)志的十家知名安全服務(wù)商的認(rèn)證服務(wù)進(jìn)行了深入研究后發(fā)現(xiàn),安全網(wǎng)站認(rèn)證服務(wù)存在普遍的嚴(yán)重缺陷。
所謂網(wǎng)站安全認(rèn)證服務(wù),就是安全服務(wù)商每日針對(duì)網(wǎng)站/外圍網(wǎng)絡(luò)的漏洞進(jìn)行測(cè)試、查找、訪問(wèn)和管理漏洞的安全掃描,并根據(jù)一系列標(biāo)準(zhǔn)提供安全修復(fù)方案,為值得信賴的網(wǎng)站 提供安全認(rèn)證標(biāo)志。
有些知名的網(wǎng)站安全認(rèn)證如還會(huì)和搜索引擎合作,為有網(wǎng)站安全 認(rèn)證標(biāo)志的網(wǎng)站提供綠色安全圖標(biāo),確保訪問(wèn)者對(duì)網(wǎng)站的信心。
目前國(guó)外比較知名的提供網(wǎng)站安全認(rèn)證服務(wù)的企業(yè)包括賽門鐵克、McAfee、Trust-Guard、Qualys等安全廠商,獲得“安全網(wǎng)站”認(rèn)證標(biāo)志的收費(fèi)標(biāo)準(zhǔn)通常在100-2000美元之間。
我們?cè)陔娚獭⒔鹑凇①Y訊類網(wǎng)站上常見(jiàn)這些安全認(rèn)證標(biāo)志(小盾牌、小鎖之類的圖案),這也許能給消費(fèi)者帶來(lái)一些安全感,但是,獲得這些安全認(rèn)證服務(wù)的網(wǎng)站真的就不會(huì)(容易)被黑嗎?事實(shí)恰恰相反,近日國(guó)外科技網(wǎng)站TheRegister和Arstechnica先后撰文指出,網(wǎng)站安全認(rèn)證標(biāo)志并不能“辟邪”,反而更容易被黑客攻破。
近日科學(xué)家們對(duì)提供安全網(wǎng)站認(rèn)證標(biāo)志的十家知名安全服務(wù)商的認(rèn)證服務(wù)(下圖)進(jìn)行了深入研究后發(fā)現(xiàn),安全網(wǎng)站認(rèn)證服務(wù)存在普遍的嚴(yán)重缺陷。
網(wǎng)站安全認(rèn)證服務(wù)對(duì)比
在一份《揭秘第三方安全認(rèn)證標(biāo)志生態(tài)系統(tǒng)》(點(diǎn)擊文章尾部鏈接下載)的報(bào)告中,科學(xué)家們指出目前的安全網(wǎng)站認(rèn)證服務(wù)的缺陷主要表現(xiàn)為以下兩方面:
首先,安全認(rèn)證服務(wù)的漏洞掃描不靠譜。科學(xué)家們實(shí)測(cè)發(fā)現(xiàn)安全認(rèn)證服務(wù)的掃描器無(wú)法發(fā)現(xiàn)很多嚴(yán)重的安全漏洞。
在另外一組試驗(yàn)中,研究者架設(shè)了一個(gè)包含12個(gè)已知漏洞(例如SQL注入、CSRF、XSS等),然后購(gòu)買了8家安全網(wǎng)站認(rèn)證廠商的服務(wù),其中表現(xiàn)最佳的安全認(rèn)證服務(wù)也會(huì)漏掉超過(guò)一半的已知網(wǎng)站安全漏洞,很多安全認(rèn)證服務(wù)的漏洞掃描甚至連Virus Total這樣的公開(kāi)庫(kù)中的惡意軟件都無(wú)法識(shí)別。
其次,安全認(rèn)證網(wǎng)站更容易遭黑。科學(xué)家們通過(guò)滲透測(cè)試發(fā)現(xiàn)獲得安全網(wǎng)站認(rèn)證標(biāo)志的網(wǎng)站,黑客只需不到一天時(shí)間就可找到漏洞,更加讓人震驚的是,研究者發(fā)現(xiàn)由于有了安全網(wǎng)站認(rèn)證標(biāo)志的存在,攻擊者反而更容易鎖定安全漏洞,換而言之,“安全網(wǎng)站”更容易遭受黑。這要“感謝”安全認(rèn)證廠商給黑客的提示。
因?yàn)楫?dāng)一家獲得過(guò)安全認(rèn)證標(biāo)志的網(wǎng)站因漏洞太多未能通過(guò)最新的檢測(cè),或者合同到期后,安全認(rèn)證服務(wù)商不會(huì)把安全網(wǎng)站認(rèn)證從客戶網(wǎng)站上拿掉,而是采取改變認(rèn)證標(biāo)志尺寸或?qū)?biāo)志做透明化處理,當(dāng)黑客覺(jué)察到一家網(wǎng)站存在“隱形”安全標(biāo)志,或者安全認(rèn)證標(biāo)志有異樣時(shí),基本可以確定這家網(wǎng)站一定存在很多容易得手的漏洞。
此外,黑客還可以架設(shè)實(shí)驗(yàn)網(wǎng)站,購(gòu)買多家安全認(rèn)證服務(wù),然后采用同樣的安全檢測(cè)方法去掃描那些安全標(biāo)志有異常的網(wǎng)站,從而快速確定目標(biāo)網(wǎng)站的漏洞和攻擊優(yōu)先級(jí)。
- ISC.AI 2025正式啟動(dòng):AI與安全協(xié)同進(jìn)化,開(kāi)啟數(shù)智未來(lái)
- 360安全云聯(lián)運(yùn)商座談會(huì)圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營(yíng)聯(lián)運(yùn)”認(rèn)證!
- 280萬(wàn)人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬(wàn)元
- 推動(dòng)數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬(wàn)元
- UTG-Q-017:“短平快”體系下的高級(jí)竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書(shū)
- 美國(guó)美中委員會(huì)發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國(guó)網(wǎng)絡(luò)與信息法治建設(shè)回顧