社交网站的网络与信息安全问题探讨

《社交网站的网络与信息安全问题探讨》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

1、万方数据南京市森林公安高等专科学校许源摘要：对当前社交网站面临的网络和信息安全问题进行探讨，并从个人用户、企业和监管者三个角度提出防范对策和建议。关键词：社交网站；网络安全；信息安全O引言近年来，社交网站(SNS)在我国得到了飞速的发展。据统计，截至2009年2月，中国社交网站月度覆盖用户规模达1．632亿人次。比2008年1月份的1．188亿网民覆盖规模增长了41．7唰n。同其他互联网业务相比，社交网站业务对用户的吸引度和黏度优势更加明显。随着业务的不断增长，社交网站所带来的安全问题也在不断显现。个人隐私泄露，遭受病毒、木马攻击等问题层出不穷。1社交网站带来的网络安全问题随着社

2、交网站的兴起，网络犯罪分子也将目光投向了这一领域。之所以对社交网站进行攻击，主要是因为这类网站具有极高的人气和访问量。但同时都或多或少地存在一些安全方面的隐患，可以帮助他们大规模传播恶意软件。1．1社交网站本身存在安全漏洞社交网站容易遭到的安全风险主要有两类：一类是阂为采用Ajax技术而导致的蠕虫攻击，如Mys—pace、国内的51．cOII!，校内网都曾经出现过各自的网站蠕虫。这些蠕虫通过利用个人空间、模板上的bug，可以自动向用户的好友发送带毒链接，用户浏览后就会中毒。另一类是由于社交网站对cookie的不恰当使用，而导致黑客可以轻易发动CSRF(cross—siterequ

3、estforgery，跨站请求伪造)攻击。CSRF攻击也被称成为oneclickattack或者sessionriding，是一种对网站的恶意利用。有的社交网站为了让用户经常登陆，利用—个永久有效的cookie，让用户永久保持在登陆状态。这样，用户只要输入网站的网址，不用填写自己的账号和密码，就可以登陆，使用社交网站的各种功能。只要黑客拿到机器上储存的这个cookie，就可以以用户的身份做任何事情。举例：开心网漏洞解读冈。在2009年9月初，开心网发现多个安全漏洞，这些漏洞大多是因为网站过滤不严而导致。使得黑客可以借此漏洞进行“挂马”和跨站攻击，同时通过和cookie截获配合制造

4、}{{能够引起严重后果的网站蠕虫。下面列举的漏洞出在群相册组件处，主要问题是iframe过滤不严。漏洞利用：酋先，制作一个网页木马。例如下载一款Flash漏洞生成器，在“生成”中输入木马的地址(该木马已经上传到指定的网站空间中)，再将生成的网页木马上传到指定的网站空间中。然后，注册一个开心网账号，用账号登录后进人群相册，创建一个群相册专辑。在群相册专辑名称处输入代码<／iftame>，见图1，点击“确定”按钮，百度就被嵌入到开心网中了，见图2。缸芸@信}April201045

5、万方数据图1在群相册专辑名称处输入代码接着，将上述代码中的www．baidu．Corn替换为木马地址，将width(嵌入框架的宽)和height(嵌入框架的高)的值都设为0，就可以挂马了。最后等用户浏览相册或者四处宣传引诱用户浏览相册就可以了。图2显示出的结果1．2用户手机、无线上网等存在安全隐患手机通话内容被监听、收发短信电话簿就被盗取、下载音乐却让手机中了病毒⋯⋯这些在手机使用过程中的问题，可能有不少人碰到过。目前，手机安全问题正面临严峻的挑战，而且随着手机上网的普及，这一现象还将日趋严重。随着3G的普及，越来越多的市民喜欢用手机聊QQ、查看邮件、上网，手机或将成为今后病毒传

6、播的最大媒介，成为数量最大的“肉鸡”(在Internet上被“黑客”任意摆布的电脑)。病毒除了通过网络传播到手机外，也有可能通过手机程序传播。如购买的“水货手机”，在出售前就被写入了追踪、窃听等程序，这与用户使用的电话卡无关，只要开机。就可能被人窃听到通话内容。或者在手机维修时被感染病毒，普通用户难以察觉。有的人喜欢将手机当成MP3或者U盘使用，这样也容易给手机带来染毒的风险。现在，运营商又开始试水WiFi手机上网业务，更是让无线生活给人们提供了无限遐想。但是目前被广泛采用的热点46^pr．I2010l江芸国岱(hot～point，即WiFi接人技术)无线接入技术存在技术漏洞，可

7、以被人轻易地破解，从而让电脑或手机里面的信息被窃取。类似这样的工具网络上非常方便就可以下载到。加在Goosle上输入“WiFi破解工具”等关键词，很快便能找到多款破解工具。这些工具中，最常见的是WinAirCrackPack工具包，还有Omnipeek软件。网上甚至有如何利用这些工具包破解无线网络，获取他人信息的详细教程。1．3给企业的网络和系统带来安全隐患事实上，当社交网站遭受攻击，给用户带来安全风险的同时，对企业的网络和办公系统也带来一定的安全隐患。例如大量消耗网络带宽、网络