聚焦Web安全 天融信解读浏览器九大高危漏洞

　　日前，国家计算机网络应急技术处理协调中心（CNCERT/CC） 、中国互联网协会网络与信息安全工作委员会联合主办了“2012年中国计算机网络安全年会”，来自国家信息安全漏洞共享平台（CNVD）、“乌云”（WooYun）、天融信阿尔法实验室等业内知名漏洞/攻防研究组织的专家受邀出席。

　　受去年年底CSDN密码泄漏事件影响，本届年会特别设立了“漏洞与个人信息保护”分论坛，围绕各类安全事件发生的重要内因--信息系统漏洞进行深入讨论，同时针对如何保护互联网上大量个人信息，减少其所面临的安全风险进行交流。

天融信阿尔法实验室首席安全研究员徐少培

　　此次会议，天融信阿尔法实验室首席安全研究员徐少培以“现代浏览器新安全研究”为主题，从九个方面阐述了现代浏览器的安全风险，包括：浏览器URL地址栏欺骗攻击，浏览器URL状态栏欺骗攻击，浏览器页面标签欺骗攻击，浏览器页面解析欺骗攻击，浏览器插件安全，浏览器本地存储安全，浏览器安全策略被绕过，浏览器隐私安全，浏览器差异带来的安全风险。目前业界体系化的浏览器安全研究还处于空白，此次天融信带来的浏览器威胁报告全面阐述了现代浏览器带来的新安全风险，为业界关注和研究浏览器安全起到了推动作用。

　　众所周知，浏览器早已经成为网民浏览互联网必不可少的工具。现代浏览器早已经不像以前浏览器是铁板一块，基本都可以定制和扩展。隐私安全也在现代浏览器上得以体现，在HTML解析、CSS解析、JavaScript引擎、网络通信、数据管理、页面呈现都变的越发复杂的现代浏览器中，将存在更多的安全风险。随着网络的IP化、宽带化、智能化以及新技术新业务新业态的快速发展，网络安全问题更加复杂，形势依然严峻。

　　互联网黑色产业链年产值超过百亿，严重破坏互联网公共环境安全，威胁网民个人隐私、财产安全和产业发展。基于浏览器上URL地址栏，URL状态栏，页面标签以及页面发起的视觉欺骗攻击也是如今互联网用户面临最多的威胁，这些欺骗攻击促使网站钓鱼等网络安全事件频发。浏览器视觉欺骗攻击让互联网用户即便是简单访问一个普通Web页面就有可能遭受欺骗。尤其是随着HTML5开始广泛应用，其部署的离线应用程序缓存功能更容易受到黑客攻击。天融信在去年的中国计算机网络安全年会上就发布了《HTML5安全威胁报告》，提出了HTML5的八大威胁，引发了社会的广泛关注。针对目前的浏览器上带来的攻击威胁，天融信阿尔法实验室特别提醒广大互联网用户，不要轻易点击陌生链接，不要安装未知的浏览器扩展插件并及时更新插件版本，使用最新版本的浏览器，这样可以有效防范互联网威胁，减少所受损失。

　　网络攻击、信息窃取、病毒传播等安全事件和违法犯罪活动多发频发，通信网络仍然存在一些安全隐患和薄弱环节，核心技术与关键资源的自主可控能力不强，网络安全方面的高精尖人才还比较缺乏，全社会网络安全意识仍有待进一步提高。网站中的补丁程序好打，但难点是人们薄弱的安全意识；安全设备和工具的使用也不复杂，复杂的是如何辨别社会工程学中人与人之间的信任。个人安全意识是抵御黑客攻击的最后一道防线。目前，天融信已建成前沿攻防实验室、阿尔法实验室、企业博士后流动站、美国安全分析实验室、安全云服务中心五位一体的企业级安全感知系统，时刻感知网络的风云变化，帮助互联网用户及时了解网络威胁状况，提升安全意识，及时防范网络攻击。