拒絕“躺著中槍” 360網(wǎng)站安全新增“旁注”檢測(cè)

一直以來(lái)，很多網(wǎng)站站長(zhǎng)都有這樣的疑問(wèn)：為什么用了專業(yè)的Web安全服務(wù)和“防注”程序，使用Web安全掃描器也沒有發(fā)現(xiàn)漏洞，但網(wǎng)站依然會(huì)被黑？

其實(shí)，這種情況大多來(lái)自“旁注”攻擊。也就是說(shuō)，黑客攻擊同一服務(wù)器上其他存在漏洞的網(wǎng)站，并獲取服務(wù)器最高管理員權(quán)限，進(jìn)而對(duì)目標(biāo)網(wǎng)站形成威脅。對(duì)此，360網(wǎng)站安全檢測(cè)近日進(jìn)行了專項(xiàng)升級(jí)，加入“旁注”檢測(cè)功能，直觀的告訴站長(zhǎng)自身網(wǎng)站所在服務(wù)器的整體安全情況，為站長(zhǎng)選擇安全的主機(jī)服務(wù)商提供重要依據(jù)。

360網(wǎng)站安全檢測(cè)平臺(tái)服務(wù)網(wǎng)址：http://webscan.#

據(jù)了解，“旁注”一般以虛擬主機(jī)作為攻擊對(duì)象。其原理是利用同一主機(jī)上其他站點(diǎn)的安全漏洞，獲取服務(wù)器上的一個(gè)Webshell（Web后門程序），從而獲取一定的服務(wù)器操作權(quán)限，進(jìn)而利用虛擬目錄權(quán)限的配置不嚴(yán)格或者“提權(quán)”攻擊獲取管理員權(quán)限后，再跳轉(zhuǎn)到目標(biāo)網(wǎng)站的Web虛擬目錄中，實(shí)現(xiàn)竊取信息，篡改內(nèi)容的操作。

“‘旁注’攻擊看似曲折，卻非常有效?！?60網(wǎng)站安全工程師表示?！昂芏嗾鹃L(zhǎng)出于省錢的考慮，從而選擇成本較低的虛擬主機(jī)服務(wù)，而提供商會(huì)在一臺(tái)或多臺(tái)服務(wù)器上為站長(zhǎng)分配一定的硬盤與數(shù)據(jù)庫(kù)等存儲(chǔ)資源，不過(guò)服務(wù)器與服務(wù)都是共享的，這就造成了‘一漏百漏’的安全隱患。黑客在攻擊目標(biāo)網(wǎng)站無(wú)果時(shí)，通常會(huì)采用這種曲線方式多次嘗試?！?/P>

圖1：黑客可通過(guò)一些查詢網(wǎng)站輕易獲得目標(biāo)站點(diǎn)信息

那么，黑客如何得到同一主機(jī)上其他的站點(diǎn)信息呢？原來(lái)，目前網(wǎng)絡(luò)上存在很多通過(guò)主機(jī)IP反向查詢綁定域名情況的站點(diǎn)，比如國(guó)外十分有名的WebHosting，以及國(guó)內(nèi)的一些類似站點(diǎn)，黑客獲取站點(diǎn)信息可謂輕而易舉。

可見，站長(zhǎng)可以為自己的網(wǎng)站打造安全的防御機(jī)制，但是卻無(wú)法控制虛擬主機(jī)提供商，及同服務(wù)器的其他網(wǎng)站的安全。如今隨著360網(wǎng)站安全檢測(cè)“旁注”風(fēng)險(xiǎn)，這個(gè)難題得以迎刃而解。

圖2：360網(wǎng)站安全檢測(cè)新增“旁注”檢測(cè)功能

通過(guò)360網(wǎng)站安全檢測(cè)服務(wù)，站長(zhǎng)可以查詢網(wǎng)站所在的虛擬主機(jī)上是否有其他域名存在安全風(fēng)險(xiǎn)（圖3）。一旦發(fā)現(xiàn)自身網(wǎng)站可能遭到“旁注”攻擊，站長(zhǎng)可以督促虛擬主機(jī)提供商進(jìn)行防范，或者選擇安全性更高的虛擬主機(jī)提供商。

圖3：同一虛擬主機(jī)安全性一目了然

360安全專家表示，Web安全是一個(gè)整體，它不僅僅是由于單純的Web漏洞所導(dǎo)致，還有很多類似“旁注”攻擊這樣的安全隱患所影響，360網(wǎng)站安全檢測(cè)平臺(tái)會(huì)逐步的完善Web安全檢測(cè)策略，為廣大網(wǎng)站提供360度的安全保障。

360網(wǎng)站安全檢測(cè)平臺(tái)服務(wù)網(wǎng)址：http://webscan.#