《网站常见三种漏洞攻击及防范方法》由会员分享,可在线阅读,更多相关《网站常见三种漏洞攻击及防范方法(2页珍藏版)》请在金锄头文库上搜索。
1、国内外黑客组织或者个人为牟取利益窃取和篡改网络信息,已成为不争的事实, 在不断给单位和个人造成经济损失的同时,我们也应该注意到这些威胁大多是 基于Web网站发起的攻击,在给我们造成不可挽回的损失前,我们有必要给大家 介绍几种常见的网站漏洞,以及这些漏洞的防范方法,目的是帮助广大网站管理 者理清安全防范思绪,找到当前的防范重点,最大程度地避免或减少威胁带来 的损失。1、SQL语句漏洞也就是SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页 面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如先前的很 多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的
2、,这类 表单特别容易受到SQL注入式攻击。有效防范手段:对于SQL注入问题的一般处理方法是账户最小权限原则。以 下几种方法推荐使用:对用户输入信息进行必要检查对一些特殊字符进行转换或者过滤使用强数据类型限制用户输入的长度需要注意:这些检查要放在server运行,client提交的任何东西都是不可 信的。使用存储过程,如果一定要使用SQL语句,那么请用标准 的方式组建SQL 语句。比如可以利用parameters对象,避免用字符串直接拼SQL命令。当SQL 运行出错时,不要把数据库返回的错误信息全部显示给用户,错误信息经常会 透露一些数据库设计的细节。2、网站挂马挂马就是在别人电脑里面(或是网站
3、服务器)里植入木马程序,以盗取一些信 息或者控制被挂马的电脑做一些不法的勾当(如攻击网站,传播病毒,删除资料 等)。网页挂马就是在网页的源代码中加入一些代码,利用漏洞实现自动下载木 马到机器里。网站挂马的形式可分为框架挂马、数据库挂马、后台挂马、服务器 挂马以及其他形式的挂马方式。有效防范手段:要防止网站被挂马,可以采取禁止写入和目录禁止执行的功 能,这两项功能相组合,就可以有效地防止ASP木马。此外,网站管理员通过 FTP上传某些数据,维护网页时,尽量不安装asp的上传程序。这对于常被ASP 木马影响的网站来说,会有一些帮助。当然是用专业的查杀木马工具也是不错 的防护措施。需要注意:管理员权
4、限的用户名和密码要有一定复杂性,并只允许信任的人 使用上传程序。3、XSS跨站攻击XSS又叫CSS (Cross Site Script),属于被动式的攻击,跨站脚本攻击。 它指的是恶意攻击者往Web页面里插入恶意html代码(攻击者有时也会在网页中 加入一些以.JS或.VBS为后尾名 的代码),当用户浏览该页之时,嵌入其中Web 里面的html代码会被执行,从而达到恶意用户的特殊目的。有效防范手段:对于XSS跨站攻击的防范分为对网站和对个人分别来讲。对于网站,坚决不要相信任何用户输入并过滤所有特殊字符,这样可以消灭 绝大部分的XSS攻击。对于个人,保护自己的最好方法就是仅点击你想访问的那个网
5、站上的链接。 有时候XSS会在你打开电子邮件、打开附件、阅读留言板、阅读论坛时自动进 行,当你打开电子邮件或是在公共论坛上阅读你不认识的人的帖子时一定要注 意。最好的解决办法就是关闭浏览器的Javascript功能。在IE中可以将安全 级别设置为最高,可以防cookie被盗。实际上,上面三种网站攻击是目前较为流行和常见的,而防范手段对于专业 的网站管理者来说,只是经验之谈,但我们非常清楚的知道,网站漏洞层出不 穷, 能否及时防御、修复,是网站能否安全运行的决定因素。单靠技术人员的手动修 复是不可能做到面面俱到的,需要对网站漏洞敏感程度较高的软件来有效的保障 网站的安全。笔者作为一名51CTO安
6、全频道的客座专家也深知这一点,在这里向 广大网站管理和运维人员推荐一款性价比较高的软 件:UnisWebScanner。这款网站安全扫描器是目前市场上使用比较广泛的,而且是Web安全性价比 不错的一款安全产品,相比国外的Web安全扫描产品来 说,UnisWebScanner速 度快,可以紧密跟踪国内最新网页木马,达到快速响应和及时更新能力;笔者之 所以推荐给广大51CTO的广大用户,更为 重要的一些原因是,UnisWebScanner 的扫描结果非常准确,而且不含恶意软件和广告软件,相信这一点对于很多网站 管理者来说,都是至关重要的。该软件主要是针对Web安全性进行弱点评估的智能检测系统,整合了当前各 类流行Web攻击手段,如网页挂马攻击、SQL注入漏洞、跨站脚本攻击 等,是 多年研究积累的经验之作。UnisWebScanner适用于通过internet、intranet、 extranet进行网上交易或信息发布的大、中、小企业,如金融、证券、政府、 电子商务、电信运营商、基金、网游、科研院所等各类企事业单位。
