社交网站的网络与信息安全问题探讨

南京市森林公安高等专科学校许源

摘要：对当前社交网站面临的网络和信息安全问题进行探讨，并从个人用户、企业和监管者三个角度提出防范对策和建议。

关键词：社交网站；网络安全；信息安全

0引言

近年来，社交网站（ＳＮＳ）在我国得到了飞速的发展。据统计，截至２００９年２月，中国社交网站月度覆盖用户规模达１．６３２亿人次，比２００８年１月份的１．１８８亿网民覆盖规模增长了４１．７％［１］。同其他互联网业务相比，社交网站业务对用户的吸引度和黏度优势更加明显。随着业务的不断增长，社交网站所带来的安全问题也在不断显现。个人隐私泄露，遭受病毒、木马攻击等问题层出不穷。

1社交网站带来的网络安全问题

随着社交网站的兴起，网络犯罪分子也将目光投向了这一领域。之所以对社交网站进行攻击，主要是因为这类网站具有极高的人气和访问量，但同时都或多或少地存在一些安全方面的隐患，可以帮助他们大规模传播恶意软件。

1.1社交网站本身存在安全漏洞

社交网站容易遭到的安全风险主要有两类：

一类是因为采用Ａｊａｘ技术而导致的蠕虫攻击，如Ｍｙｓ－ｐａｃｅ、国内的５１．ｃｏｍ，校内网都曾经出现过各自的网站蠕虫，这些蠕虫通过利用个人空间、模板上的ｂｕｇ，可以自动向用户的好友发送带毒链接，用户浏览后就会中毒。

另一类是由于社交网站对ｃｏｏｋｉｅ的不恰当使用，而导致黑客可以轻易发动ＣＳＲＦ（ｃｒｏｓｓ－ｓｉｔｅｒｅｑｕｅｓｔｆｏｒｇｅｒｙ，跨站请求伪造）攻击。ＣＳＲＦ攻击也被称成为ｏｎｅｃｌｉｃｋａｔｔａｃｋ或者ｓｅｓｓｉｏｎｒｉｄｉｎｇ，是一种对网站的恶意利用。有的社交网站为了让用户经常登陆，利用一个永久有效的ｃｏｏｋｉｅ，让用户永久保持在登陆状态。这样，用户只要输入网站的网址，不用填写自己的账号和密码，就可以登陆，使用社交网站的各种功能。只要黑客拿到机器上储存的这个ｃｏｏｋｉｅ，就可以以用户的身份做任何事情。

举例：开心网漏洞解读［２］。

在２００９年９月初，开心网发现多个安全漏洞，这些漏洞大多是因为网站过滤不严而导致。使得黑客可以借此漏洞进行“挂马”和跨站攻击，同时通过和ｃｏｏｋｉｅ截获配合制造出能够引起严重后果的网站蠕虫。下面列举的漏洞出在群相册组件处，主要问题是ｉｆｒａｍｅ过滤不严。

漏洞利用：首先，制作一个网页木马。例如下载一款Ｆｌａｓｈ漏洞生成器，在“生成”中输入木马的地址（该木马已经上传到指定的网站空间中），再将生成的网页木马上传到指定的网站空间中。然后，注册一个开心网账号，用账号登录后进入群相册，创建一个群相册专辑。在群相册专辑名称处输入代码＜ｉｆｒａｍｅｓ－ｒｃ＝ｈｔｔｐ：／／ｗｗｗ．ｂａｉｄｕ．ｃｏｍ？ｗｉｄｔｈ＝５００ｈｅｉｇｈｔ＝４００＞＜／ｉｆｒａｍｅ＞，见图１，点击“确定”按钮，百度就被嵌入到开心网中了，见图２。

社交网站的网络与信息安全问题探讨

TECHNOLOGY PRACTICE技术与实践

接着，将上述代码中的ｗｗｗ．ｂａｉｄｕ．ｃｏｍ替换为木马地址，将ｗｉｄｔｈ（嵌入框架的宽）和ｈｅｉｇｈｔ（嵌入框架的高）的值都设为０，就可以挂马了。最后等用户浏览相册或者四处宣传引诱用户浏览相册就可以了。

1.2用户手机、无线上网等存在安全隐患

手机通话内容被监听、收发短信电话簿就被盗取、下载音乐却让手机中了病毒……这些在手机使用过程中的问题，可能有不少人碰到过。目前，手机安全问题正面临严峻的挑战，而且随着手机上网的普及，这一现象还将日趋严重。

随着３Ｇ的普及，越来越多的市民喜欢用手机聊ＱＱ、查看邮件、上网，手机或将成为今后病毒传播的最大媒介，成为数量最大的“肉鸡”（在Ｉｎｔｅｒｎｅｔ上被“黑客”任意摆布的电脑）。病毒除了通过网络传播到手机外，也有可能通过手机程序传播。如购买的“水货手机”，在出售前就被写入了追踪、窃听等程序，这与用户使用的电话卡无关，只要开机，就可能被人窃听到通话内容。或者在手机维修时被感染病毒，普通用户难以察觉。有的人喜欢将手机当成ＭＰ３或者Ｕ盘使用，这样也容易给手机带来染毒的风险。

现在，运营商又开始试水ＷｉＦｉ手机上网业务，更是让无线生活给人们提供了无限遐想。但是目前被广泛采用的热点（ｈｏｔ－ｐｏｉｎｔ，即ＷｉＦｉ接入技术）无线接入技术存在技术漏洞，可以被人轻易地破解，从而让电脑或手机里面的信息被窃取。类似这样的工具网络上非常方便就可以下载到，加在Ｇｏｏｇｌｅ上输入“ＷｉＦｉ破解工具”等关键词，很快便能找到多款破解工具。这些工具中，最常见的是ＷｉｎＡｉｒＣｒａｃｋＰａｃｋ工具包，还有Ｏｍｎｉｐｅｅｋ软件。网上甚至有如何利用这些工具包破解无线网络，获取他人信息的详细教程。

1.3给企业的网络和系统带来安全隐患

事实上，当社交网站遭受攻击，给用户带来安全风险的同时，对企业的网络和办公系统也带来一定的安全隐患。例如大量消耗网络带宽、网络中出现ＡＲＰ（ａｄｄｒｅｓｓｒｅｓｏｌｕｔｉｏｎｐｒｏｔｏｃｏｌ）欺骗等，都会影响企业的运作效率。

2社交网站的信息安全问题

对于社交网站而言，用户填写的个人资料越详细，就越有商业价值。因此，几乎所有的社交网站都在鼓励用户填写真实资料，但提供的安全保护却并不充足，容易造成个人隐私泄露。另外用户在同网友的交流中，也会不经意地透露或者被别有用心的人窃取个人信息，甚至会造成其家庭、单位等私密信息的泄露。

在使用网络的过程中，网民遇到的泄密问题主要有个人资料的泄露，包括手机号泄露、ＭＳＮ账号密码（ＱＱ账号密码）泄露、邮件账号泄露（邮件通讯录泄露）、个人真实信息泄露等。在遭遇这些信息泄露后，往往会频繁受到各种商业广告、垃圾信息的骚扰，收到各种挂马、钓鱼网站的链接，甚至是收到诈骗、勒索的电话和短信等。

上述这些泄密问题，往往存在于博客、社交网站、论坛上，由于社交网站兼具博客和论坛功能，造成泄密的可能性和危害性也较一般的网站严重许多。根据瑞星公司的《社交网站与网民隐私报告（２００９）》显示，社交网站已成为诱导网民泄露隐私、记录隐私、利用网民隐私牟利的巨大商业集团［３］。

2.1社交网站给个人用户带来的安全风险

社交网站给个人用户带来的安全风险主要是造成个人隐私的泄露，形式一般有：

１）诱导用户填写ＭＳＮ和ＱＱ的账号、密码，易造成私密信息泄露；

２）通过提供奖励、优惠等方式，鼓励用户填写自己的真实情况；

３）鼓励用户将提供手机等个人信息，建立个人信息资料库，存在隐私泄露风险。

2.2社交网站对企业信息保密带来安全隐患

社交网站建设的其中一个理念就是和别人去共享你的信技术与实践TECHNOLOGY PRACTICE