但蓬勃发展的博客网站也存在三大漏洞,黑客可在博客日志系统中随意嵌入恶意代码。而利用这些恶意代码,可以迅速传播间谍软件、木马等有害程序。
博客系统存在的三大漏洞主要存在于以下三个环节中:
1.内容发布系统管理:基于博客倡导的自由化、个性化,只要用户进行身份认证便可以发放信息,以至于任何人都可利用内容发布嵌入恶意代码。“博客中国”似乎认识到这一点,前不久刚刚更新了发布系统,添加了“转义”的功能。可是单单“转义”功能并不能保证什么,有心人仍可以通过发链接达到目的,这样阅读者一旦点击就会中毒。
2.回帖:不少博客网站的个人博客不需要登录即可直接回复,且回帖内容也几乎没有任何省核,这比BBS更让黑客得心应手,黑客很有可能通过匿名回复将病毒连接链在一个高访问量的个人博客后。
3.附加功能:追求与众不同是人的天性,不少博客为了吸引用户,在个人博客设置上增加了背景音乐等功能,这些高级功能一方面使博客变得更加丰富多彩,但另一方面无疑给了黑客另一个工具,黑客可以将这些功能作为病毒代码的替代品,植入木马也可做得更加隐蔽。
就在三大漏洞公布后第二日,6月17日,江民反病毒中心曾率先截获首例通过博客传播的木马病毒Trojan/Startpage.Blogcpp,并命名为“博客杀手”。该病毒藏身于某IT专业网站的博客服务里,用户访问某博客上的任意文章都会感染该病毒,该病毒运行后,会修改IE主页、搜索页,并指向含有病毒的博客页面。
种种迹象表明,随着博客网站越来越普遍,各个博客服务网站的浏览量突飞猛进,如果对博客系统的安全漏洞不加以有效防范,其存在的潜在危害将会越来越大。
《中国教育报》2005年7月25日第6版