南京市森林公安高等专科学校许源摘要：对当前社交网站面临的网络和信息安全问题进行探讨，并从个人用户、企业和监管者三个角度提出防范对策和建议。

关键词：社交网站；网络安全；信息安全0引言近年来，社交网站（ＳＮＳ）在我国得到了飞速的发展。

据统计，截至２００９年２月，中国社交网站月度覆盖用户规模达１．６３２亿人次，比２００８年１月份的１．１８８亿网民覆盖规模增长了４１．７％［１］。

同其他互联网业务相比，社交网站业务对用户的吸引度和黏度优势更加明显。

随着业务的不断增长，社交网站所带来的安全问题也在不断显现。

个人隐私泄露，遭受病毒、木马攻击等问题层出不穷。

1社交网站带来的网络安全问题随着社交网站的兴起，网络犯罪分子也将目光投向了这一领域。

之所以对社交网站进行攻击，主要是因为这类网站具有极高的人气和访问量，但同时都或多或少地存在一些安全方面的隐患，可以帮助他们大规模传播恶意软件。

1.1社交网站本身存在安全漏洞社交网站容易遭到的安全风险主要有两类：一类是因为采用Ａｊａｘ技术而导致的蠕虫攻击，如Ｍｙｓ－ｐａｃｅ、国内的５１．ｃｏｍ，校内网都曾经出现过各自的网站蠕虫，这些蠕虫通过利用个人空间、模板上的ｂｕｇ，可以自动向用户的好友发送带毒链接，用户浏览后就会中毒。

另一类是由于社交网站对ｃｏｏｋｉｅ的不恰当使用，而导致黑客可以轻易发动ＣＳＲＦ（ｃｒｏｓｓ－ｓｉｔｅｒｅｑｕｅｓｔｆｏｒｇｅｒｙ，跨站请求伪造）攻击。

ＣＳＲＦ攻击也被称成为ｏｎｅｃｌｉｃｋａｔｔａｃｋ或者ｓｅｓｓｉｏｎｒｉｄｉｎｇ，是一种对网站的恶意利用。

有的社交网站为了让用户经常登陆，利用一个永久有效的ｃｏｏｋｉｅ，让用户永久保持在登陆状态。

这样，用户只要输入网站的网址，不用填写自己的账号和密码，就可以登陆，使用社交网站的各种功能。

只要黑客拿到机器上储存的这个ｃｏｏｋｉｅ，就可以以用户的身份做任何事情。

举例：开心网漏洞解读［２］。

在２００９年９月初，开心网发现多个安全漏洞，这些漏洞大多是因为网站过滤不严而导致。

使得黑客可以借此漏洞进行“挂马”和跨站攻击，同时通过和ｃｏｏｋｉｅ截获配合制造出能够引起严重后果的网站蠕虫。

下面列举的漏洞出在群相册组件处，主要问题是ｉｆｒａｍｅ过滤不严。

漏洞利用：首先，制作一个网页木马。

例如下载一款Ｆｌａｓｈ漏洞生成器，在“生成”中输入木马的地址（该木马已经上传到指定的网站空间中），再将生成的网页木马上传到指定的网站空间中。

然后，注册一个开心网账号，用账号登录后进入群相册，创建一个群相册专辑。

在群相册专辑名称处输入代码＜ｉｆｒａｍｅｓ－ｒｃ＝ｈｔｔｐ：／／ｗｗｗ．ｂａｉｄｕ．ｃｏｍ？ｗｉｄｔｈ＝５００ｈｅｉｇｈｔ＝４００＞＜／ｉｆｒａｍｅ＞，见图１，点击“确定”按钮，百度就被嵌入到开心网中了，见图２。

社交网站的网络与信息安全问题探讨TECHNOLOGY PRACTICE技术与实践接着，将上述代码中的ｗｗｗ．ｂａｉｄｕ．ｃｏｍ替换为木马地址，将ｗｉｄｔｈ（嵌入框架的宽）和ｈｅｉｇｈｔ（嵌入框架的高）的值都设为０，就可以挂马了。

最后等用户浏览相册或者四处宣传引诱用户浏览相册就可以了。

1.2用户手机、无线上网等存在安全隐患手机通话内容被监听、收发短信电话簿就被盗取、下载音乐却让手机中了病毒……这些在手机使用过程中的问题，可能有不少人碰到过。

目前，手机安全问题正面临严峻的挑战，而且随着手机上网的普及，这一现象还将日趋严重。

随着３Ｇ的普及，越来越多的市民喜欢用手机聊ＱＱ、查看邮件、上网，手机或将成为今后病毒传播的最大媒介，成为数量最大的“肉鸡”（在Ｉｎｔｅｒｎｅｔ上被“黑客”任意摆布的电脑）。

病毒除了通过网络传播到手机外，也有可能通过手机程序传播。

如购买的“水货手机”，在出售前就被写入了追踪、窃听等程序，这与用户使用的电话卡无关，只要开机，就可能被人窃听到通话内容。

或者在手机维修时被感染病毒，普通用户难以察觉。

有的人喜欢将手机当成ＭＰ３或者Ｕ盘使用，这样也容易给手机带来染毒的风险。

现在，运营商又开始试水ＷｉＦｉ手机上网业务，更是让无线生活给人们提供了无限遐想。

但是目前被广泛采用的热点（ｈｏｔ－ｐｏｉｎｔ，即ＷｉＦｉ接入技术）无线接入技术存在技术漏洞，可以被人轻易地破解，从而让电脑或手机里面的信息被窃取。

类似这样的工具网络上非常方便就可以下载到，加在Ｇｏｏｇｌｅ上输入“ＷｉＦｉ破解工具”等关键词，很快便能找到多款破解工具。

这些工具中，最常见的是ＷｉｎＡｉｒＣｒａｃｋＰａｃｋ工具包，还有Ｏｍｎｉｐｅｅｋ软件。

网上甚至有如何利用这些工具包破解无线网络，获取他人信息的详细教程。

1.3给企业的网络和系统带来安全隐患事实上，当社交网站遭受攻击，给用户带来安全风险的同时，对企业的网络和办公系统也带来一定的安全隐患。

例如大量消耗网络带宽、网络中出现ＡＲＰ（ａｄｄｒｅｓｓｒｅｓｏｌｕｔｉｏｎｐｒｏｔｏｃｏｌ）欺骗等，都会影响企业的运作效率。

2社交网站的信息安全问题对于社交网站而言，用户填写的个人资料越详细，就越有商业价值。

因此，几乎所有的社交网站都在鼓励用户填写真实资料，但提供的安全保护却并不充足，容易造成个人隐私泄露。

另外用户在同网友的交流中，也会不经意地透露或者被别有用心的人窃取个人信息，甚至会造成其家庭、单位等私密信息的泄露。

在使用网络的过程中，网民遇到的泄密问题主要有个人资料的泄露，包括手机号泄露、ＭＳＮ账号密码（ＱＱ账号密码）泄露、邮件账号泄露（邮件通讯录泄露）、个人真实信息泄露等。

在遭遇这些信息泄露后，往往会频繁受到各种商业广告、垃圾信息的骚扰，收到各种挂马、钓鱼网站的链接，甚至是收到诈骗、勒索的电话和短信等。

上述这些泄密问题，往往存在于博客、社交网站、论坛上，由于社交网站兼具博客和论坛功能，造成泄密的可能性和危害性也较一般的网站严重许多。

根据瑞星公司的《社交网站与网民隐私报告（２００９）》显示，社交网站已成为诱导网民泄露隐私、记录隐私、利用网民隐私牟利的巨大商业集团［３］。

2.1社交网站给个人用户带来的安全风险社交网站给个人用户带来的安全风险主要是造成个人隐私的泄露，形式一般有：１）诱导用户填写ＭＳＮ和ＱＱ的账号、密码，易造成私密信息泄露；２）通过提供奖励、优惠等方式，鼓励用户填写自己的真实情况；３）鼓励用户将提供手机等个人信息，建立个人信息资料库，存在隐私泄露风险。

2.2社交网站对企业信息保密带来安全隐患社交网站建设的其中一个理念就是和别人去共享你的信技术与实践TECHNOLOGY PRACTICE息。

但是对于企业而言，大多数情况下并不希望这么做，因为竞争对手也正期望从它的员工处获取商业机密。

当某位员工为他们公司从事的业务或取得的成果感到自豪，而去告诉其他人的时候，很可能在无意中充当了泄密者的角色。

3病毒式营销带来的垃圾信息问题开心网、校内网等社交网站的兴起是这两年互联网最热门的话题，而社交网站用户规模快速膨胀的过程，可以说，与其疯狂的病毒式营销密不可分。

权威网络流量调查公司Ａｌｅｘａ数据显示，直到２００８年６月底之前，开心网流量还较小，７月就出现爆发式增长。

有研究表明，这与开心网展开病毒式营销密切相关。

很多注册了开心网的人都是这样被“诓”进来的———收到好友邮件，声称自己与朋友发现一个好玩的网站，邀请其加入；或者就是ＭＳＮ上也有骚扰链接。

在这一过程中，ＭＳＮ成为社交网站进行病毒式营销的重要工具，用户在相关社交网站上注册之后，ＭＳＮ就会自动发送邀请链接给其ＭＳＮ好友。

有时候，ＭＳＮ用户会在一天之内收到好几十个链接，邀请其进驻相关的社交网站，直到ＭＳＮ用户最终注册———一旦注册，就会自动成为下一个传播节点，这就是爆炸式的病毒传播。

病毒营销在带来不可思议的传播速度的同时，也带来了一系列烦恼，不少网民已将在ＭＳＮ上传播的社交网站信息当作病毒对待，恨不能除之而后快。

用户的投诉主要来自两方面：一方面是经常在ＭＳＮ和邮件里收到社交网站的相关邀请和广告信息，另一方面是登录相应的社交网站后会经常收到大量的通知和应用程序邀请，开放平台成了骚扰用户的根源。

4应对策略4.1社交网站需加强自身的网站安全建设社交网站的自身安全建设总体来说与其他网站类似，但由于社交网站大量使用了Ａｊａｘ技术，因此必须对ＸＳＳ（跨站脚本攻击）和ＣＳＲＦ攻击以及相关的蠕虫病毒进行关注。

为尽可能地避免网站出现此类漏洞，首先在网站建设初期加强对用户输入内容可靠性的限制管理，同时还要做深入细致的检测，最基本的就是对有输入框的页面进行代码测试，在测试过程中如页面有任何框架变形或脚本错误提示，即预示着此页面可能存在ＸＳＳ跨站攻击漏洞。

在具体做法方面，除了手动对输入框逐一查找外，其实还有大量的ＸＳＳ漏洞检测工具可供我们使用，如著名的ＸＳＳＬＦＩＦｉｌｅＤｉｓｃｌｏｓｕｒｅ－Ｓｃａｎｎｅｒ、Ｐａｒｏｓ等，对全站页面结构进行扫描，有可能发现新的安全漏洞。

此外，对带参数的链接也要进行参数替换测试。

同时，最好在网站开发的部分阶段，引入专业的黑盒与白盒测试工具，建立完善的文本过滤层。

只有在建设阶段做到尽可能细致的考虑和测试，才能保证系统上线后，避免出现大的漏洞和问题。

4.2用户自身如何做好防护对于用户自身如何做好防护，网络安全专家们也给了很多建议，归纳起来，主要有如下几点：１）严密防范社交网站的蠕虫攻击。

安装最新的杀毒软件和系统补丁。

尽量不要点击他人转载的信息。

２）尽量不要填写过于详细的个人资料。

尤其是收入水平、婚姻状况，是否买股票等，很容易被有心人利用，进行商业推广和诈骗。

３）不要轻易加ＭＳＮ好友、ＱＱ好友、社交网站好友。

一旦加某人为ＭＳＮ好友，他在很多社交网站会自动成为你的好友。

这样，即使是一个十分陌生的人，也可能了解到你最隐私的个人资料。

４）使用社交网站时要充分利用其安全机制。

如邀请好友时，如果输入了ＭＳＮ账号密码、邮箱账号密码，在使用完后要马上修改密码。

4.3企业如何做好社交网站安全防护企业可以使用制度或者技术手段来限制员工访问社交网站。

如果这些都不奏效，企业可能需要采取更加灵活和深入的方法。

例如在安全检查方面，采用对所有Ｗｅｂ流量进行扫描以查找恶意软件或者病毒，使用数据泄漏防御（ＤＬＰ）解决方案来检测所有内容以防止企业机密泄露。

同时可以将对社交网站访问的时间限制到某些时间段，如午饭时间等，这也正是２００９年７月Ｓｏｐｈｏｓ安全威胁报告所建议的方式。

由于来自社交网站的威胁存在很多形式，链接到其他网站的链接、直接的邮件消息、钓鱼电子邮件等，所有的Ｗｅｂ流量都应该进行恶意内容扫描，而不只是对来自社交网站的内容进行扫描。

对于第二层保护，ＤＬＰ可以防止员工在不适当的位置张贴敏感信息。

虽然ＤＬＰ不能够阻止某些内部威胁，但是它可以很有效的阻止和检测意外的病毒感染和数据泄漏。