北京時間2016年1月13日消息，全球交付、優化及網絡內容安全等云服務領域首屈一指的供應商阿卡邁技術公司（AkamaiTechnologies,Inc.，以下簡稱：Akamai）今日通過其網絡威脅研究團隊（ThreatResearchDivision）通報了一項新的網絡安全威脅。該團隊確認了一種復雜的搜索引擎優化（SEO）活動，這種活動使用SQL注入攻擊目標網站，受到感染的網站將發送隱藏的HTML鏈接，讓搜索引擎機器人產生混淆，進而錯誤地影響網頁排名。關于此項攻擊的完整報告可點擊此鏈接下載：http://www.stateoftheinternet.com/seo-attacks。

概述

在2015年第三季度的兩個星期內，網絡威脅研究團隊通過Akamai智能平臺（AkamaiIntelligentPlatform· ）搜集到了大量數據并進行了分析，發現超過3800個網站和348個唯一IP地址遭遇了多個不同的攻擊，并最終得出以下主要研究結果：

· 有證據顯示發生了大規模篡改——當在互聯網上搜索被用作上述攻擊活動的HTML鏈接時，網絡威脅研究團隊發現了數百個包含這些惡意鏈接的web應用。

· 攻擊并操縱搜索引擎結果——當使用“出軌”（cheat）與“故事”（story）等普通詞語組合進行搜索時，搜索結果的首頁上明顯率先出現了以“出軌的故事”（cheatingstories）為名稱的應用程序。

· 分析結果展示攻擊影響——網絡威脅研究團隊觀察了Alexa分析，上述名為“出軌的故事”的應用程序搜索排名在三個月內出現了顯著的上升。

搜索引擎使用特定算法來決定網頁排名以及網站在網絡中的索引，重定向至這些web應用程序的鏈接數量及這些鏈接的聲譽影響著這些排名。SEO攻擊者在網絡中創建了一系列指向所謂“出軌故事”的故事的外部鏈接，仿造正常的網絡內容并影響搜索引擎算法。

Akamai安全業務部高級副總裁兼總經理StuartScholly表示：“對于攻擊者而言，操縱網頁排名的能力意味著一種極具誘惑力的生意與業務。如果成功，攻擊可以影響企業收入；最重要的是，它可以利用互聯網對許多機構與公司的聲譽造成負面影響。”

應對之策

此類攻擊活動顯示出對于搜索引擎運算的獨特理解，因此，網絡威脅研究團隊建議采取以下防御技術加以應對：

對于Web應用開發者

· 針對將會用于后端數據庫查詢的所有用戶提供的數據，確保您已經實施恰當的輸入驗證檢查。具體請參考：https://www.owasp.org/index.php/Input_Validation_Cheat_Sheet

· 當使用用戶提供的數據構建SQL查詢時，對參數化的查詢僅使用預先準備好的語句。具體請參考：https://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet

對于Web應用防御者

· 部署網絡應用防火墻（WAF），并將其配置為攔截SQL注入攻擊模式。

· 考慮分析并監測HTML響應的文體格式，幫助確定是否發生諸如網絡鏈接數量增多之類的明顯變化。

Akamai對不斷發生的使用SQL注入技術的SEO攻擊活動進行持續監測。如需了解更多詳情，請下載關于此次威脅通報的完整報告：http://www.stateoftheinternet.com/seo-attacks 。