各类Web应用攻击包括注入攻击、跨站脚本、钓鱼攻击、信息泄漏、恶意编码、表单绕过、缓冲区溢出等。安恒信息负责人指出，许多政府和企业的关键业务活动越来越多依赖于Web应用，而现阶段的安全解决方案无一例外把重点放在网络安全层面，致使面临应用层攻击发生时，传统的网络防火墙、IDS/IPS等安全产品几乎不起作用。

据安恒信息的实际调研，大部分企业都把业务系统及服务器托管至IDC机房，应用服务器和数据库服务器在网络层面和应用层面均没有采取任何的防护措施，所有服务器的安全防护方面属于在“裸奔”状态下运行。

国内多数网站都以明文方式存储客户信息，并无加密，即便有加密的也只限于对密码进行MD5加密，很少会看到其他更高级的加密形式，及除密码信息外的信息也被加密的情况。而且，不同等级用户，差别就是用户表上等级列标识的区别，如果这个标识被篡改，那就没什么保护可言。普通用户只有修改自己信息的权限，网站管理员能查看除密码之外的用户信息，系统管理员能对服务器上的所有用户信息进行操作，直接查询数据库。一旦管理员个人电脑被操控而没被发现，黑客就可以获取数据。

广州易城信息技术公司总经理陈三堰说，黑客的强大在于他能找到网站的弱点，并能通过此弱点攻破网站；电子商务网站本身的防护相对一般网站都高，最大的问题出现在管理者身上。

需要补课

根据熊猫安全公司防病毒实验室的最新报告，隐私侵犯和数据窃取将成为明年安全机构关注的焦点，网络间谍和社交网络攻击将成为潮流。预测在2012年，公司和政府部门将成为网络间谍的主要目标，而手机和平板电脑将成为重要的攻击对象。

近几年国外安全事件的特点是：目的性强，组织性强，趋利性强，范围广，难定位，大多利用僵尸网络发起攻击行为。而这些被攻击的网站，在黑客面前显然是落伍了。

邹晓波告诉财新《新世纪》记者，很多大黑客有自己的0day，就是没有公布的漏洞，公众不知道，管理员也不一定知道，攻击方式层出不穷，法律上很难取证。

“我们在明处、他们在暗处。必须接受这个现实。”他说，“被攻击是常态，但可以增加黑客攻击的难度，即使被得手了，也要让他获得的数据库可用价值不大。”

安天实验室首席架构师肖新光说，过去十余年，中国的Web应用甩开安全飞速狂奔，开发者们凭借自身的勤奋和冲击力奠定了现有的格局，但也因快速地奔跑遗落了一些东西，比如安全。也许现在是拾起这些弃物的时间了。

中国的安全界则因保守、敏感和很多自身原因，与应用的距离越拉越远，“在我们还在幻想某些完美的安全图景时，发现我们已经望不到应用的脊背了。”肖新光说。

(责任编辑：)