拒絕“躺著中槍” 360網(wǎng)站安全新增“旁注”檢測(cè)

　　其實(shí)，這種情況大多來(lái)自“旁注”攻擊。也就是說(shuō)，黑客攻擊同一服務(wù)器上其他存在漏洞的網(wǎng)站，并獲取服務(wù)器最高管理員權(quán)限，進(jìn)而對(duì)目標(biāo)網(wǎng)站形成威脅。對(duì)此，360網(wǎng)站安全檢測(cè)近日進(jìn)行了專(zhuān)項(xiàng)升級(jí)，加入“旁注”檢測(cè)功能，直觀的告訴站長(zhǎng)自身網(wǎng)站所在服務(wù)器的整體安全情況，為站長(zhǎng)選擇安全的主機(jī)服務(wù)商提供重要依據(jù)。

　　360網(wǎng)站安全檢測(cè)平臺(tái)服務(wù)網(wǎng)址：http://webscan.#

　　據(jù)了解，“旁注”一般以虛擬主機(jī)作為攻擊對(duì)象。其原理是利用同一主機(jī)上其他站點(diǎn)的安全漏洞，獲取服務(wù)器上的一個(gè)Webshell(Web后門(mén)程序)，從而獲取一定的服務(wù)器操作權(quán)限，進(jìn)而利用虛擬目錄權(quán)限的配置不嚴(yán)格或者“提權(quán)”攻擊獲取管理員權(quán)限后，再跳轉(zhuǎn)到目標(biāo)網(wǎng)站的Web虛擬目錄中，實(shí)現(xiàn)竊取信息，篡改內(nèi)容的操作。

　　“‘旁注’攻擊看似曲折，卻非常有效。”360網(wǎng)站安全工程師表示。“很多站長(zhǎng)出于省錢(qián)的考慮，從而選擇成本較低的虛擬主機(jī)服務(wù)，而提供商會(huì)在一臺(tái)或多臺(tái)服務(wù)器上為站長(zhǎng)分配一定的硬盤(pán)與數(shù)據(jù)庫(kù)等存儲(chǔ)資源，不過(guò)服務(wù)器與服務(wù)都是共享的，這就造成了‘一漏百漏’的安全隱患。黑客在攻擊目標(biāo)網(wǎng)站無(wú)果時(shí)，通常會(huì)采用這種曲線(xiàn)方式多次嘗試。”

　　圖1：黑客可通過(guò)一些查詢(xún)網(wǎng)站輕易獲得目標(biāo)站點(diǎn)信息

　　那么，黑客如何得到同一主機(jī)上其他的站點(diǎn)信息呢？原來(lái)，目前網(wǎng)絡(luò)上存在很多通過(guò)主機(jī)IP反向查詢(xún)綁定域名情況的站點(diǎn)，比如國(guó)外十分有名的WebHosting，以及國(guó)內(nèi)的一些類(lèi)似站點(diǎn)，黑客獲取站點(diǎn)信息可謂輕而易舉。

　　可見(jiàn)，站長(zhǎng)可以為自己的網(wǎng)站打造安全的防御機(jī)制，但是卻無(wú)法控制虛擬主機(jī)提供商，及同服務(wù)器的其他網(wǎng)站的安全。如今隨著360網(wǎng)站安全檢測(cè)“旁注”風(fēng)險(xiǎn)，這個(gè)難題得以迎刃而解。

　　圖2：360網(wǎng)站安全檢測(cè)新增“旁注”檢測(cè)功能

　　通過(guò)360網(wǎng)站安全檢測(cè)服務(wù)，站長(zhǎng)可以查詢(xún)網(wǎng)站所在的虛擬主機(jī)上是否有其他域名存在安全風(fēng)險(xiǎn)(圖3)。一旦發(fā)現(xiàn)自身網(wǎng)站可能遭到“旁注”攻擊，站長(zhǎng)可以督促虛擬主機(jī)提供商進(jìn)行防范，或者選擇安全性更高的虛擬主機(jī)提供商。

　　圖3：同一虛擬主機(jī)安全性一目了然

　　360安全專(zhuān)家表示，Web安全是一個(gè)整體，它不僅僅是由于單純的Web漏洞所導(dǎo)致，還有很多類(lèi)似“旁注”攻擊這樣的安全隱患所影響，360網(wǎng)站安全檢測(cè)平臺(tái)會(huì)逐步的完善Web安全檢測(cè)策略，為廣大網(wǎng)站提供360度的安全保障。

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]