网站安全认证不靠谱,“安全网站”更容易遭黑

oschina
 oschina
发布于 2014年12月08日
收藏 20

McAfee

 

近日科学家们对提供安全网站认证标志的十家知名安全服务商的认证服务进行了深入研究后发现,安全网站认证服务存在普遍的严重缺陷。

所谓网站安全认证服务,就是安全服务商每日针对网站/外围网络的漏洞进行测试、查找、访问和管理漏洞的安全扫描,并根据一系列标准提供安全修复方案,为值得信赖的网站 提供安全认证标志。

有些知名的网站安全认证如还会和搜索引擎合作,为有网站安全 认证标志的网站提供绿色安全图标,确保访问者对网站的信心。

目前国外比较知名的提供网站安全认证服务的企业包括赛门铁克、McAfee、Trust-Guard、Qualys等安全厂商,获得“安全网站”认证标志的收费标准通常在100-2000美元之间。

我们在电商、金融、资讯类网站上常见这些安全认证标志(小盾牌、小锁之类的图案),这也许能给消费者带来一些安全感,但是,获得这些安全认证服务的 网站真的就不会(容易)被黑吗?事实恰恰相反,近日国外科技网站TheRegister和Arstechnica先后撰文指出,网站安全认证标志并不能 “辟邪”,反而更容易被黑客攻破。

近日科学家们对提供安全网站认证标志的十家知名安全服务商的认证服务(下图)进行了深入研究后发现,安全网站认证服务存在普遍的严重缺陷。

网站安全认证服务对比

在一份《揭秘第三方安全认证标志生态系统》请登录下载的报告中,科学家们指出目前的安全网站认证服务的缺陷主要表现为以下两方面:

首先,安全认证服务的漏洞扫描不靠谱。科学家们实测发现安全认证服务的扫描器无法发现很多严重的安全漏洞。

在另外一组试验中,研究者架设了一个包含12个已知漏洞(例如SQL注入、CSRF、XSS等),然后购买了8家安全网站认证厂商的服务,其中表现 最佳的安全认证服务也会漏掉超过一半的已知网站安全漏洞,很多安全认证服务的漏洞扫描甚至连Virus Total这样的公开库中的恶意软件都无法识别。

其次,安全认证网站更容易遭黑。科学家们发现获得安全网站认证标志的网站,黑客只需不到一天时间就可找到漏洞,更加让人震惊的是,研究者发现由于有了安全网站认证标志的存在,攻击者反而更容易锁定安全漏洞,换而言之,“安全网站”更容易遭受黑。这要“感谢”安全认证厂商给黑客的提示。

因为当一家获得过安全认证标志的网站因漏洞太多未能通过最新的检测,或者合同到期后,安全认证服务商不会把安全网站认证从客户网站上拿掉,而是采取 改变认证标志尺寸或对标志做透明化处理,当黑客觉察到一家网站存在“隐形”安全标志,或者安全认证标志有异样时,基本可以确定这家网站一定存在很多容易得 手的漏洞。

此外,黑客还可以架设实验网站,购买多家安全认证服务,然后采用同样的安全检测方法去扫描那些安全标志有异常的网站,从而快速确定目标网站的漏洞和攻击优先级。

稿源:安全牛

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 开源中国社区 [http://www.oschina.net]
本文标题:网站安全认证不靠谱,“安全网站”更容易遭黑
加载中

最新评论(10

ahmatjan--
ahmatjan--
哈哈。这算是信息收集社工了么?
MattD
MattD
McAfee的创始人怎么看都像是个基佬
+变态,虽然他确实变态。
道名DAO
人家玩水坑,人越多,越被黑成陷井。
maverickpuss
maverickpuss
此地无银三百两的活学活用~
无锡首席大都督程序员
绿色标记不是ssl?好吧,那我不知道他说的是啥玩意
锟铻科技
锟铻科技
这些认证主要是收集网上常见的漏洞,并根据常见的规律来分析的!很正常了,能解决大部分就不错了,你还真想机器完全代替人啊!
梅开源
梅开源
360认证还算靠谱
SupNatural
SupNatural

引用来自“妹子说名字长丁丁长”的评论

胡扯,ssl的当然比裸奔靠谱
能看看内容么?哪里提ssl了。
无锡首席大都督程序员
胡扯,ssl的当然比裸奔靠谱
开源中国匿名会员
开源中国匿名会员
为什么经过网络最帅认证的 @红薯 更容易遭人黑?请看今夜说法。
返回顶部
顶部