【赛迪网-IT技术报道】近日,中国证监会在京召开证券期货业信息化工作领导小组成立暨第一次工作会议。中国证监会主席尚福林强调,加强信息系统安全保障是证券期货行业的一项重要基础性工作,对于保护广大投资者合法权益,促进市场平稳运行,维护国家金融安全具有重要意义,证券期货行业要抓紧落实近期部署的重点工作,加强信息安全保障体系建设,形成信息安全保障的长效机制,为资本市场长远发展做出贡献。
随着奥运即将到来,各种攻击的发生越来越频繁,尤其是挂马攻击、注入攻击、钓鱼攻击成为了主流。最近发生的大规模的注入攻击,已经有几十万个站点不幸中招,由于是使用工具进行大规模的行动,攻击者直接将数据库中全部的表都写入挂马字段,影响非常严重。从捕获的代码来看,挂马者还刻意去掉了中文操作系统的 Web 程序,可以想象,如果攻击者对国内的证券类网站进行大规模自动化的行动,后果不堪设想。此次SQL注入是专门针对由数据库驱动的网站而发动的攻击,黑客通过利用系统连接到网络的不安全的代码执行未经授权的SQL指令发动攻击。SQL注入攻击之所以成为最常见的针对以数据库为基础的网站的攻击方式,是因为黑客并不需要知道多少关于某个目标网页浏览器的后台设置,也不需要太多有关SQL查询的知识就能发起攻击。但是,最近这次的攻击狂潮却“相当复杂”,而且很难察觉,到察觉的时候往往为时已晚。
黑客们可以随机地选择目标IP地址,能够将目标锁定到任何类型的网站。很多成功的广受信任的零售网站都被这次SQL注入攻击波及到了。任何人浏览到受攻击感染的网站都会被重新链接到“非法网站”,伴随着出现错误信息,并丢失掉网页内容。随后,用户会被恶意软件攻击,并不断成为对他人发动botnet攻击的“帮凶”。
目前,证监会对业内机构安全自查、检查的任务进行了安排。重要的是要对网站进行全面的检查,查找漏洞,尤其是“注入式”漏洞。
WebPecker(网站啄木鸟)能够为证券门户网站和网上交易系统提供最权威的综合威胁分析。
WebPecker主要针对以下威胁做相关检测:
(责任编辑:李磊)
