新征程：2009年互联网安全热点展望

    我们一起走过一个让人大喜大悲的2008年，互联网上的血雨腥风刚刚退去，即将到来的2009是否会掀起新一波高潮？在金融危机大背景下，互联网安全形式的确不容乐观，就目前的态势看，以下几个方面很可能是2009年的安防重点，希望广大用户能够提高警惕。

    一、漏洞补丁

    系统漏洞、软件漏洞……这一系列的漏洞成为了攻击者最好的武器，随着微软开始全力封杀盗版系统，一些还在使用盗版的用户不敢再进行在线更新，这种有补丁不敢打的情况很可能会在短期内滋生更多的攻击。我们要肯定微软封杀盗版的行为，但在中国当前环境下，有些用户还无力支付正版费用时，铤而走险承担漏洞也成了无奈选择。

    0day仍然会毫不松懈的将漏洞挖个遍。微软漏洞补丁发布很及时，但就是在这个缝隙中，仍然有大量主机遭受攻击。前一阶段IE7爆出的漏洞就能说明这个问题。软件补丁也不例外，杀毒软件在2008年频频出现低级错误，误杀现象屡见不鲜。而对于一些更新不太及时，用户黏度高却升级不利的软件来说就比较麻烦了。比如WinRAR曾经爆出的漏洞，即便官方已经升级，但由于自身缺少Update机制，造成大部分用户根本不知道这个状况，另外以Flash播放器的漏洞也可以看出此类问题。

    漏洞威胁以其不确定性让很多用户头疼，事实上，一个好的应急机制此时是十分必要的，除了开启软件和系统的自动更新功能外，时刻关注公布漏洞的网站也很必要，自动+手动才可能避免一触即发的漏洞威胁。当然，安装一款带有安全补丁更新机制的杀毒软件也是有帮助的。

    二、注入攻击

    2009年初，针对Discuz!论坛的攻击拉开了注入式攻击的序幕，谁让asp、php这么流行呢？谁让特殊字符那么难的过滤干净呢？一切使然，从国外传进来的注入技术，虽然已不被外国黑客青睐，但在国内却是一片繁荣的景象。

    这次论坛集体休克事件后，让越来越多的站长对即成程序表示了担心和怀疑，因为一旦漏洞出现，其普遍应用性远远大于网站本身招致的危险。其实SQL注入攻击早已是黑客对数据库进行攻击的常用手段之一。随着B/S模式应用开发的发展，使用这种模式编写应用程序的程序员也越来越多，但是由于程序员的水平及经验也参差不齐，相当大一部分程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。

    虽然补丁越打越多，但随着程序功能的愈加强大，其注入点只会越来越多，只不过发现的难度要更大了。由于SQL注入是从正常的WWW端口访问，而且表面看起来跟一般的Web页面访问没什么区别，所以目前市面的防火墙都不会对SQL注入发出警报，如果管理员没查看IIS日志的习惯，可能被入侵很长时间都不会发觉。目前已经有针对服务器端的asp木马检查工具，但还是需要手动才能实现，另外还要看服务商是否做好的磁盘权限划分工作，否则一旦被侵入，不仅仅是单独网站，整个服务器都要遭殃。