我們已經準備好了,你呢?

2021我們與您攜手共贏,為您的(de)企業形象保駕護航!

  網(wang)(wang)(wang)站為(wei)什么容易(yi)被(bei)攻(gong)擊(ji)?每(mei)一(yi)個(ge)揚州(zhou)網(wang)(wang)(wang)絡(luo)公司都不(bu)希望自(zi)己的(de)(de)(de)網(wang)(wang)(wang)站被(bei)攻(gong)擊(ji), 防(fang)患于未然,找出被(bei)攻(gong)擊(ji)的(de)(de)(de)原因, 減少些麻煩(fan).才(cai)是最關鍵的(de)(de)(de),分(fen)析研(yan)究預防(fang)網(wang)(wang)(wang)站被(bei)攻(gong)擊(ji)的(de)(de)(de)有段也是非贏(ying)利性組織(zhi)Open Web Application Security Project(OWASP )試圖解決的(de)(de)(de)問題之一(yi)。本文(wen)歸納(na)了OWASP組織(zhi)提出的(de)(de)(de)前(qian)十大(da)網(wang)(wang)(wang)絡(luo)漏洞(dong)(dong),包括對每(mei)個(ge)問題的(de)(de)(de)描(miao)述、真實案例以及如何(he)修復網(wang)(wang)(wang)站漏洞(dong)(dong)。

  1、注入漏洞

  問題:當用(yong)戶提供的數據(ju)(ju)被作為指令(ling)的一(yi)部分(fen)發送(song)到轉換(huan)(huan)器(將文本指令(ling)轉換(huan)(huan)成可執行的機器指令(ling))的時候,黑客會欺騙轉換(huan)(huan)器。攻(gong)擊者可以利(li)用(yong)注入漏洞(dong)創(chuang) 建、讀取、更新或(huo)者刪除應用(yong)軟(ruan)件上的任意(yi)數據(ju)(ju)。在最壞的情況(kuang)下,攻(gong)擊者可以利(li)用(yong)這些漏洞(dong)完全控制應用(yong)軟(ruan)件和底層(ceng)系統,甚至繞(rao)過(guo)系統底層(ceng)的防火墻。

  真實(shi)案例:俄(e)羅斯黑客(ke)在2006年1月份(fen)攻(gong)破了(le)美國羅得島政府網站,竊(qie)取了(le)大量信(xin)(xin)用(yong)卡資料。黑客(ke)們聲(sheng)稱SQL注入攻(gong)擊竊(qie)取了(le)5.3萬個信(xin)(xin)用(yong)卡賬號, 而主機服務供應商則聲(sheng)稱只被竊(qie)取了(le)4113個信(xin)(xin)用(yong)卡賬號。

  如何保護用戶(hu):盡可能不要使(shi)用轉換器。OWASP組織(zhi)說(shuo):“如果你必(bi)須(xu)使(shi)用轉換器,那么(me),避免(mian)遭受注(zhu)入攻擊的(de)(de)最好方法是使(shi)用安全的(de)(de)API,比如參數 化指令和對象關系(xi)映射庫。”

  2、跨站腳(jiao)本(XSS)

  問(wen)題:XSS漏洞(dong)是最普遍和(he)(he)最致命的(de)(de)(de)網絡(luo)應用(yong)(yong)(yong)軟件安全漏洞(dong),當一(yi)款(kuan)應用(yong)(yong)(yong)軟件將用(yong)(yong)(yong)戶(hu)數據(ju)發(fa)(fa)送到不(bu)帶認(ren)證或者(zhe)不(bu)對內容(rong)(rong)進(jin)行(xing)編(bian)碼的(de)(de)(de)網絡(luo)瀏覽器(qi)時容(rong)(rong)易發(fa)(fa)生。黑客可(ke)以(yi)利(li)用(yong)(yong)(yong)瀏覽器(qi)中(zhong)的(de)(de)(de)惡(e)(e)意(yi)腳本獲(huo)得用(yong)(yong)(yong)戶(hu)的(de)(de)(de)數據(ju),破壞網站(zhan),插入有害內容(rong)(rong),以(yi)及展(zhan)開(kai)釣魚式(shi)攻擊(ji)和(he)(he)惡(e)(e)意(yi)攻擊(ji)。

  真實案例(li):惡(e)意攻擊(ji)者去年(nian)針(zhen)對Paypal發起了(le)(le)攻擊(ji),他們(men)將Paypal用(yong)戶重新引導到另(ling)一個惡(e)意網(wang)站并警(jing)告用(yong)戶,他們(men)的(de)賬(zhang)戶已經(jing)失(shi)竊。用(yong)戶們(men)被(bei)引導到另(ling)一個釣魚式網(wang)站上,然后(hou)輸入自己的(de)Paypal登錄信息、社會保險號和信用(yong)卡資(zi)料。Paypal公司稱(cheng),它在2006年(nian)6月(yue)修(xiu)復(fu)了(le)(le)那個漏洞。

  如何保護用(yong)戶:利用(yong)一個(ge)白名(ming)單來(lai)驗證(zheng)(zheng)接到的(de)(de)所有數據(ju),來(lai)自白名(ming)單之外的(de)(de)數據(ju)一律(lv)攔截。另外,還可以(yi)對所有接收到的(de)(de)數據(ju)進行編碼。OWASP說:“驗證(zheng)(zheng)機制可以(yi)檢測攻擊,編碼則(ze)可以(yi)防止其他惡意攻擊者在瀏覽(lan)器上運行的(de)(de)內容中插入其他腳本。”

  3、惡(e)意文件執(zhi)行(xing)

  問題:黑客們(men)可以(yi)遠程執行代碼、遠程安裝rootkits工具或者完全(quan)攻破一(yi)(yi)個系統(tong)。任(ren)何一(yi)(yi)款接(jie)受來自用(yong)戶(hu)的(de)文件名或者文件的(de)網絡應用(yong)軟件都是存(cun)在漏洞的(de)。漏洞可能是用(yong)PHP語(yu)言寫的(de),PHP是網絡開發過程中應用(yong)最(zui)普(pu)遍(bian)的(de)一(yi)(yi)種腳(jiao)本語(yu)言。

  真(zhen)實案例:一位青少年程序員在2002年發現了(le)Guess.com網站是存在漏(lou)洞的(de),攻擊者(zhe)可以從Guess數據庫中竊取(qu)20萬個客(ke)戶的(de)資料(liao),包括(kuo)用戶名、信用卡號和有效期(qi)等。Guess公司在次年受(shou)到(dao)聯邦貿易委員會調查之后,同意升(sheng)級其(qi)安(an)全系統。

  如何(he)(he)保(bao)護用(yong)戶:不要將(jiang)用(yong)戶提(ti)供的(de)(de)任(ren)何(he)(he)文件寫入基于(yu)服(fu)務器的(de)(de)資(zi)源,比如鏡像和腳(jiao)本(ben)等。設定防火(huo)墻規則,防止外(wai)部(bu)網站與內(nei)部(bu)系統(tong)之間建立任(ren)何(he)(he)新的(de)(de)連(lian)接。

  4、不(bu)安(an)全(quan)的直(zhi)接(jie)對象參照物

  問題:攻擊(ji)者(zhe)(zhe)可(ke)以利用直接對象參照物(wu)而越權存取其(qi)他(ta)(ta)對象。當網站(zhan)地址或者(zhe)(zhe)其(qi)他(ta)(ta)參數(shu)包(bao)含了(le)文件、目錄、數(shu)據庫(ku)記錄或者(zhe)(zhe)關鍵字等(deng)參照物(wu)對象時就(jiu)可(ke)能發(fa)生這種(zhong)攻擊(ji)。

  銀行網站通常(chang)使用用戶(hu)的賬號(hao)作為主關鍵(jian)字,這樣(yang)就可能在(zai)網絡接口中暴露用戶(hu)的賬號(hao)。

  OWASP說:“數(shu)據(ju)庫關鍵(jian)字的參(can)(can)照物通(tong)常會泄密。攻擊(ji)者可以通(tong)過猜想或者搜索(suo)另一個有(you)效關鍵(jian)字的方式攻擊(ji)這些參(can)(can)數(shu)。通(tong)常,它們(men)都是連續的。”

  真實案例(li):澳大利亞(ya)的一(yi)個稅(shui)務(wu)(wu)網(wang)站在(zai)(zai)2000年被一(yi)位用戶攻破。那位用戶只是(shi)在(zai)(zai)網(wang)站地址(zhi)中(zhong)更(geng)改了(le)(le)稅(shui)務(wu)(wu)ID賬號(hao)就獲(huo)得了(le)(le)1.7萬(wan)家(jia)企(qi)業的詳細資料(liao)。黑(hei)客以電(dian)子郵件(jian)的方式通知(zhi)了(le)(le)那1.7萬(wan)家(jia)企(qi)業,告知(zhi)它們的數據已(yi)經被破解了(le)(le)。

  如(ru)何保護用(yong)(yong)戶:利用(yong)(yong)索(suo)引,通過間接參照映射或(huo)者另一種間接法(fa)來避免(mian)發生直接對象參照物泄密。如(ru)果你不(bu)能避免(mian)使(shi)用(yong)(yong)直接參照,那(nei)么(me)在使(shi)用(yong)(yong)它(ta)們之前(qian)必須對網站(zhan)訪(fang)問者進行授權(quan)。

  5、揚州網(wang)絡(luo)公司跨站指令偽(wei)造

  問題:這(zhe)(zhe)種攻(gong)擊簡單但破壞性強,它可以控制受害人的瀏覽器然后發送(song)惡意指令到網(wang)絡應用軟(ruan)件(jian)上。這(zhe)(zhe)種網(wang)站是(shi)很容(rong)易被攻(gong)擊的,部分(fen)原因是(shi)因為它們是(shi)根(gen)據會話cookie或者“自動記憶”功能來授權(quan)指令的。各銀行就是(shi)潛在的被攻(gong)擊目標。

  Williams說(shuo):“網(wang)絡上(shang)99%的(de)應用軟件(jian)都是易(yi)被跨站指令偽造漏洞(dong)感染的(de)。現實中(zhong)是否發(fa)生(sheng)過某人(ren)因此被攻擊而(er)損失(shi)錢財的(de)事呢?也許連各(ge)銀行(xing)都不知道。對于銀行(xing)來(lai)說(shuo),整(zheng)個攻擊看(kan)起來(lai)就像是用戶(hu)登錄到系(xi)統中(zhong)進行(xing)了一次合法的(de)交易(yi)。”

  真實案例(li):一(yi)位(wei)名(ming)叫Samy的(de)黑客在(zai)2005年(nian)(nian)末利用一(yi)個(ge)(ge)蠕蟲在(zai)MySpace網站(zhan)上(shang)獲得了(le)100萬(wan)個(ge)(ge)“好友(you)”資料,在(zai)成千上(shang)萬(wan)個(ge)(ge)MySpace網頁上(shang)自動出現了(le)“Samy是我的(de)英雄”的(de)文(wen)字。攻擊本身也(ye)許是無(wu)害的(de),但是據說這個(ge)(ge)案例(li)證明了(le)將(jiang)跨站(zhan)腳(jiao)本與偽造(zao)跨站(zhan)指令(ling)結合在(zai)一(yi)起(qi)所具(ju)備的(de)威力。另(ling)一(yi)個(ge)(ge)案例(li)發生在(zai)一(yi)年(nian)(nian)前,Google網站(zhan)上(shang)出現了(le)一(yi)個(ge)(ge)漏(lou)洞,外(wai)部(bu)網站(zhan)可(ke)以利

我們憑借多年的網站建設經驗,堅持以“幫助中小企業實現網絡營銷化”為宗旨,累計為4000多家客戶提供品質建站服務,得到了客戶的一致好評。如果您有網站建設、網站改版、域名注冊、主機空間、手機網站建設、網站備案等方面的需求...
請立即點擊咨詢我們或撥打咨詢熱線: 13358125868,我們會詳細為你一一解答你心中的疑難。

我們已經準備好了,你呢?

2020我們與您(nin)攜手共(gong)贏,為您(nin)的企(qi)業形(xing)象保駕護航!

在線客服
聯系方式

熱線電話

13358125868

上班時間

周一到周五

公司電話

13358125868

二維碼
微信