老域名出售

网站安全认证不靠谱?“安全网站”更容易遭黑

国外科学家们对提供安全网站认证标志的十家知名安全服务商的认证服务进行了深入研究后发现,安全网站认证服务存在普遍严重缺陷。

所谓网站安全认证服务,就是安全服务商每日针对网站/外围网络的漏洞进行测试、查找访问管理漏洞的安全扫描,并根据一系列标准提供安全修复方案,为值得信赖的网站 提供安全认证标志。

有些知名的网站安全认证如还会和搜索引擎合作,为有网站安全 认证标志的网站提供绿色安全图标,确保访问者对网站的信心。

目前国外比较知名的提供网站安全认证服务的企业包括赛门铁克、McAfee、trust-Guard、Qualys等安全厂商,获得“安全网站”认证标志的收费标准通常在100-2000美元之间。

我们在电商、金融、资讯类网站上常见这些安全认证标志(小盾牌、小锁之类的图案),这也许能给消费者带来一些安全感,但是,获得这些安全认证服务的网站真的就不会(容易)被黑吗?事实恰恰相反,近日国外科技网站TheRegister和Arstechnica先后撰文指出,网站安全认证标志并不能“辟邪”,反而更容易被黑客攻破。

近日科学家们对提供安全网站认证标志的十家知名安全服务商的认证服务(下图)进行了深入研究后发现,安全网站认证服务存在普遍的严重缺陷。

Web安全 网站安全认证 网站被黑

在一份《揭秘第三方安全认证标志生态系统》(点击文章尾部链接下载)的报告中,科学家们指出目前的安全网站认证服务的缺陷主要表现为以下两方面:

首先,安全认证服务的漏洞扫描不靠谱。科学家们实测发现安全认证服务的扫描器无法发现很多严重的安全漏洞。

在另外一组试验中,研究者架设了一个包含12个已知漏洞(例如SQL注入、CSRF、XSS等),然后购买了8家安全网站认证厂商的服务,其中表现最佳的安全认证服务也会漏掉超过一半的已知网站安全漏洞,很多安全认证服务的漏洞扫描甚至连Virus Total这样的公开库中的恶意软件都无法识别。


其次,安全认证网站更容易遭黑。科学家们通过渗透测试发现获得安全网站认证标志的网站,黑客只需不到一天时间就可找到漏洞,更加让人震惊的是,研究者发现由于有了安全网站认证标志的存在,攻击者反而更容易锁定安全漏洞,换而言之,“安全网站”更容易遭受黑。这要“感谢”安全认证厂商给黑客的提示。

因为当一家获得过安全认证标志的网站因漏洞太多未能通过最新的检测,或者合同到期后,安全认证服务商不会把安全网站认证从客户网站上拿掉,而是采取改变认证标志尺寸或对标志做透明化处理,当黑客觉察到一家网站存在“隐形”安全标志,或者安全认证标志有异样时,基本可以确定这家网站一定存在很多容易得手的漏洞。

此外,黑客还可以架设实验网站,购买多家安全认证服务,然后采用同样的安全检测方法去扫描那些安全标志有异常的网站,从而快速确定目标网站的漏洞和攻击优先级。

相关推荐

如何应对中小网站之间的不正当竞争现象  (2015-12-14 16:23:54)

网站发展要坚持“以站养站”的运营盈利思路  (2015-12-14 16:19:25)

其实3分钟你就可以了解网站建设  (2015-10-6 19:48:15)

3步解决IIS网站安全防止网站被黑  (2015-10-6 19:41:44)

社交网站经营人际关系目的何在?  (2015-9-12 15:22:56)

医疗网站专题页面该怎么能抓住用户的心理  (2015-8-24 18:50:24)

网站更新真的简单吗?  (2015-8-24 16:45:44)

只有自己才更了解我们的网站  (2015-8-24 16:44:21)

有效增加网站外部链接的途径和注意事项  (2015-8-24 16:36:50)

建站的失败经历:网站空间和域名带来的损失  (2015-8-11 21:17:52)

控制面板

网站分类

搜索

最近发表

网站收藏

图标汇集

Tags列表

友情链接

�?!--[if (gte IE 9)|!(IE)]>