2011年最有影响的安全事件非个人隐私非法泄露的“拖库”(或“脱库”)事件莫属。据报道称，CSDN的600万用户密码及账户数据都被黑客泄露，且该消息已经被其官方证实， CSDN官方已经向广大用户发布了道歉信。此后，网络上爆出了更惊人的消息：用户密码及账户数据泄露的不止CSDN一家网站，其中还有一些知名网站的用户数据也惨遭泄露，比如天涯等。另据报道，截至2011年12月29日，官方CNCERT通过公开渠道获得疑似泄露的数据库有26个，涉及帐号、密码2.78亿条。这一系列消息在去年底一经发出，一时间引起网民广泛的心理恐慌，人人自危，社会影响相当大，至今仍然余波未平。

　　在利益驱动下，从几年前开始，网络游戏服务端、彩票、电子商务等实际上就已经逐步成为黑客 “拖库”的主要攻击目标，一些网站数据库信息内容早已在黒客“地下世界”里“裸奔”，这已经是业界公开的秘密，只是用户不知道或不以为然而已。

　　在经历了多年博弈之后，信息安全防御产品的成熟度逐步加强，国内网站安全运维水平不断提升，单纯从技术角度对目标系统进行渗透攻击的难度加大。而通过收集分析管理员、用户信息等一系列被安全界称作“社会工程学”的手段的攻击效果则被广大攻击者认可。由于获得更多的用户信息数据有利于提高攻击的实际效率，因此攻击者将目标指向了拥有大量注册用户真实详细信息的社区及社交网站。目前，攻击者仅公开了曾经获取到的部分数据库信息内容，让相关曝光的数据库信息内容所有者发现自己的危险处境。但这只是冰山一角，而水面以下的部分更加可怕。

　　基于上述，工信部于2011年12月28日发布通告，要求各互联网站要高度重视用户信息安全工作。

　　综上所述，国内信息安全领军企业网御星云就从专业安全服务的角度与各位共同探讨类似事件该如何防护。

　　类似“拖库”事件暴露出的针对应用系统的SQL注入攻击、跨站脚本攻击等常见黑客攻击方式，全球每天会发生6000次以上。面对这种情况，如何能保障应用系统的安全?如何发现更隐蔽的安全问题?

　　由于应用安全的独特性，即应用独特复杂而没有大规模复制的可能性，需要规模化才能成型的安全产品很难应对，安全服务产品线就成为各安全厂商能够提供的解决方案。

　　如果我们站在攻击者的角度对信息系统进行渗透测试，利用攻击者的思路和技术，来模拟攻击者的攻击行为，就能够就此判断出信息系统存在的薄弱环境。

　　渗透测试服务

　　首先，可以为客户应用系统提供渗透测试服务。此服务是对系统安全的一种深度测试方法，可以弥补普通安全评估手段深度不足的缺点。通过渗透测试，可发现信息系统更隐蔽的安全弱点。

　　黑客的攻击入侵需要利用目标网络的安全弱点，渗透测试也是同样的道理。它模拟真正的黑客入侵攻击方法，以人工渗透为主，辅助以攻击工具的使用，这样保证了整个渗透测试过程都在可以控制和调整的范围之内。

　　为了让大家对渗透测试的基本内容有初步了解，我们分阶段描述如下：

　　1、预测试阶段操作简述

　　获取目标基本信息

　　可以了解目标主机和网络的一些基本的安全信息，

　　搜索网页

　　确定目标信息，为以后发动字典和木马入侵做准备;寻找网页源代码找注释和隐藏域，寻找隐藏域中的"FORM"等标记，可以发起SQL注入攻击，为以后入侵数据库做准备。

(责任编辑：)