恶意软件猖獗 Web开发者难辞其咎

数据来自于IBM最新发布的X-Force 2009年年中趋势和风险评估报告，报告发现恶意软件编写者正在使用越来越复杂的手段试图感染用户，包括入侵合法网站以及在博客和社交网络的网页中张贴恶意链接。

在网络应用方面，黑客们正热衷于使用SQL注入和跨站点脚本等攻击技术将盗取数据的木马程序植入合法网站，感染网站的正常访问者。关于SQL注入和跨站脚本攻击的防御请参考51CTO.com提供的技术文章《如何防止SQL注入方式入侵》和《如何应对跨站脚本攻击》

从2008年第四季度到2009年第一季度期间，SQL攻击的数量增加了50%，而随后从2009年第一季度到第二季度期间，这个数字几乎翻了一倍。据报道，就在几天前，一项新的SQL攻击侵入了超过5万个站点。根据51CTO.com今年9月第二周的安全周报显示，跨站脚本已取代SQL注入，成Web漏洞王。

IBM互联网安全系统部高级安全顾问Craig Lawson认为，网络应用的开发者应该为恶意软件猖獗的现状负责，他们不应该让自己编写的代码这么容易受到破坏，而操作系统或网络服务器的供应商并不该替他们受到谴责。

“网络应用开发者在发布他们的作品之前并没有充分的检查代码，”他说，“全世界的C程序员都在操作系统上编码，微软能做到在30天内发布补丁已经是了不起的事情，他们几乎是在让一艘战舰掉头。”

“但在另一边，有很多网站开发者使用花哨的Flash等开发工具随意写出HTML代码，然后走人。”

Lawson说许多网络应用软件的开发商提供的补丁已经晚了12个月。

“网络应用的漏洞本应是最容易解决的，”他说，“你所要做的无非就是升级和刷新一下代码。因此无论如何，比起其他人，网络开发者几乎没有借口让自己懒惰。”

根据IBM的报告，新漏洞的增长速度似乎有所减慢。

IBM X-Force的高级技术专家James Rendell说，与2008年上半年相比，新发现漏洞的实际数量下降了8%，但这其中有差不多一半的漏洞供应商仍未提供补丁。

“从这些未打补丁的漏洞中可以看出，网络应用框架供应商的问题表现的最明显，”他补充说，“从整体上来看，苹果公司做的最好，虽然这并不能反映软件的质量，但至少说明这家公司在发布补丁和修补漏洞方面是非常努力的。”
如果有需要服务器的租用与托管的敬请联系QQ：１５０１２８１７５８（亿恩星辰）　　　联系电话：０３７１—６３３２２２２０

服务器租用/服务器托管中国五强！虚拟主机域名注册顶级提供商！15年品质保障！--亿恩科技[ENKJ.COM]