用戶創(chuàng)作內(nèi)容普及為惡意代碼傳播開方便之門

　　據(jù)國(guó)外媒體報(bào)道，安全廠商Websense在今年上半年的安全報(bào)告中表示，75%帶有惡意代碼的網(wǎng)站是受到攻擊的合法網(wǎng)站。這一比例較去年下半年增長(zhǎng)了50%。

　　Websense安全實(shí)驗(yàn)室經(jīng)理史蒂芬·坎尼特(Stephan Chenette)表示，盡管安全廠商在許多方面有不同看法，但它們一致認(rèn)為受到攻擊的合法網(wǎng)站是最大的惡意代碼傳播源。

　　因受到攻擊而傳播惡意代碼的并非只有小站點(diǎn)?？材崽卣f，在過去的半年中，100大網(wǎng)站中的6成曾傳播了惡意代碼。

　　Websense在報(bào)告中表示，29%的惡意互聯(lián)網(wǎng)攻擊包含有竊取數(shù)據(jù)的代碼，其中的46%通過互聯(lián)網(wǎng)竊取數(shù)據(jù)。

　　報(bào)告稱，100大網(wǎng)站中的9成是社交網(wǎng)站或搜索網(wǎng)站，超過45%的網(wǎng)站支持用戶創(chuàng)作內(nèi)容。坎尼特表示，問題在于，如此多的網(wǎng)站允許用戶上傳內(nèi)容，它們又不認(rèn)真地過濾這些內(nèi)容。他說，Google Page Creator和Blogger上就有大量惡意代碼。

　　Websense表示，隨著越來越多的組織和它們的員工使用Web 2.0技術(shù)，用戶獲得了直接編輯網(wǎng)站內(nèi)容或上傳文件的權(quán)限，這就可能會(huì)引發(fā)更多的安全問題，因?yàn)樵S多組織缺乏安全地使用Web 2.0所需要的安全技術(shù)。Web 2.0應(yīng)用的增長(zhǎng)使得黑客能夠采用多種手段對(duì)企業(yè)和用戶發(fā)動(dòng)攻擊。

　　使問題復(fù)雜化的一個(gè)因素是，許多Web 2.0網(wǎng)站都只關(guān)心規(guī)模而不關(guān)心安全。Web 2.0業(yè)務(wù)模式與信用卡產(chǎn)業(yè)非常相似?？材崽卣f，為了獲得更多用戶，Web 2.0寧肯冒一定的安全風(fēng)險(xiǎn)，它們認(rèn)為擁有更多用戶的價(jià)值超過了帶有安全缺陷的風(fēng)險(xiǎn)。

　　此外，互聯(lián)網(wǎng)鏈接不再直接表明網(wǎng)頁內(nèi)容的來源也是安全攻擊增多的一個(gè)因素。現(xiàn)在，許多網(wǎng)頁都包含有多個(gè)框架(iframe)，向用戶隱藏了網(wǎng)頁內(nèi)容的真正來源。