内容提示：随着企业和政府越来越多的业务系统采用基于WEB服务方式，为用户提供方便快捷的同时，也带来了前所未有的巨大安全风险。不仅政府网站，近年来各种web网站攻击事件也是频频发生， SQL注入攻击，页面被篡改、信息失窃、甚至被利用成传播木马的载体……那么在威胁不断加重的Web安全面前，我们应该如何应对?我们有幸请来了F5中国区技术总监吴静涛先生为我们解答。

web应用攻击的危害及攻击特点

web 服务器是必经的大门，web 开发的团队技术实力的参差不齐，并非都是“专业型”的高手，编程不规范、安全意识不强，导致为黑客大开方便之门。

吴静涛说：“近年来web 安全漏洞被黑客关注和利用，成为了攻击的主流。使很多网站都深受其害。很多政府、企业、银行等部门对外的窗口和实施电子政务、电子商务的重要平台，也由于web 应用漏洞引起的安全问题被黑客篡改页面、信息失窃、甚至被利用成传播木马的载体，直接影响政府和企业的形象和声誉，这些危害都是毁灭性的。”

Web网站的安全事件频频发生，究其根源，关键原因有二：一是web 网站自身存在技术上的安全漏洞和安全隐患；二是相关的防护设备和防护手段欠缺。

吴静涛表示，以前黑客经常使用DDOS攻击都可以让网站瘫痪，也可能是黑客在显示他的技术高超。但是，近年来随着WEB漏洞引起黑客的关注和利用，这种局面正在改变。现在黑客通常会选择WEB应用程序来实施攻击，如SQL注入攻击、跨站脚本攻击和其它web 漏洞的利用。

利用网站的安全漏洞，尤其是web应用程序漏洞：如SQL 注入等，黑客能够得到web 服务器的控制权限，随意篡改网页内容或窃取重要内部数据，更为严重的则是在网页中植入恶意代码，通过“网页挂马”感染更多的客户端用户。

　　吴静涛说：“SQL注入攻击本身就是对数据库进行一系列SQL语句的查询，分号后面会被注释为SQL语句。黑客可以执行一个SQL查询来实现绕过身份验证或者操纵数据。比如说黑客在登陆管理后台时，在用户名字段中输入了‘) OR 1=1- ，熟知 Select 语句的人知道，在条件语句中，无论用户名称是否正确，由于 1=1 永远是正确的，就这样黑客成功的绕过了身份验证，黑客登陆到这个系统中。通过 SQL 注入攻击，黑客可以轻松的敲入一些 SQL 语句登陆进网站、对隐秘数据进行查询等等，而这一切都可以在WEB浏览器中进行的。”