對WEB應(yīng)用服務(wù)器的三種攻擊以及如何防止
日期:12-07 瀏覽次數(shù):18
WWW����,也有人稱它為WEB�����,是應(yīng)用目前互聯(lián)網(wǎng)上增長快的網(wǎng)絡(luò)信息服務(wù)�,也是方便和受歡迎的信息服務(wù)類型��。其大的特點(diǎn)為集成性,它可以集成多種應(yīng)用�,如FTP、E-Mail�����、數(shù)據(jù)庫等���,這種集成性也使WEB服務(wù)成為脆弱的服務(wù)器之一��。
當(dāng)然���,我們對安全問題越來越重視,影響安全的因素有很多����。如,病毒����、間諜軟件、漏洞等��。而惡意軟件由來已久���,遠(yuǎn)遠(yuǎn)超出了我們的記憶����。特別是在當(dāng)今,特洛伊木馬等惡意代碼日益橫行��,這種趨勢好像并沒有減緩的跡象�����。不過�����,惡意軟件問題比起攻擊者通過利用脆弱的應(yīng)用程序服務(wù)器竊取大量的關(guān)鍵信息來說�,顯得還是相形見絀。
為什么WEB應(yīng)用程序服務(wù)器會成為攻擊者的靶子��?原因很簡單��,因為它們是可以被公開訪問的����,并且與后端的數(shù)據(jù)庫服務(wù)器緊密相連��,后端數(shù)據(jù)庫服務(wù)器存儲著海量的令犯罪分子垂涎三尺的信息。那么����,攻擊者是怎樣使用前端有WEB應(yīng)用程序攻入后端數(shù)據(jù)庫服務(wù)器壁壘的呢。啟凡大連網(wǎng)絡(luò)公司帶你了解對WEB應(yīng)用服務(wù)器的三種攻擊:
跨站點(diǎn)腳本攻擊
跨站點(diǎn)的腳本攻擊�,也可稱為XSS或CSS,是黑客損害那些提供動態(tài)網(wǎng)頁的WEB應(yīng)用的一種技術(shù)����。當(dāng)今的許多WEB站點(diǎn)都提供動態(tài)的頁面,這些頁面由為用戶動態(tài)建造的多個源站點(diǎn)的信息組成����。如果WEB站點(diǎn)管理員不注意這個問題,惡意內(nèi)容能夠插入到Web頁面中�,以收集機(jī)密信息或簡單地用戶端系統(tǒng)上執(zhí)行。
Blind SQL 注入式攻擊
Blind SQL注入式攻擊是發(fā)動攻擊的另一個方法�����,但卻是另一種略有不同的方法���。在執(zhí)行一次標(biāo)準(zhǔn)的SQL注入式攻擊時���,攻擊者將一個SQL查詢插入到一個WEB應(yīng)用程序中�,期望使服務(wù)器返回一個錯誤消息����。這種錯誤消息能夠使攻擊者獲得用于執(zhí)行更精確的攻擊所需要的信息。這會致使數(shù)據(jù)庫管理員相信只要消除這種錯誤的消息就會解決引起SQL注入式攻擊的潛在的問題����。管理員可能不會認(rèn)識到雖然這樣會隱藏錯誤消息,這種脆弱性仍然存在���。這樣會為攻擊者增加點(diǎn)兒困難�����,卻不能阻止攻擊者使用錯誤消息收集信息�,攻擊者會不斷地將偽造的SQL查詢發(fā)送給服務(wù)器����,以期獲得對數(shù)據(jù)庫的訪問。
SQL 注入式攻擊
SQL注入式攻擊如今日益成為互聯(lián)網(wǎng)上竊取機(jī)密信息的受歡迎的途徑�����。一次SQL注入式攻擊都包含這樣一種方法:攻擊者在一個WEB表單的搜索字段中輸入一個SQL查詢�,如果這個查詢被WEB應(yīng)用程序接受,就會被傳遞到后端的數(shù)據(jù)庫服務(wù)器來執(zhí)行它���,當(dāng)然這要建立在從WEB應(yīng)用程序到數(shù)據(jù)庫服務(wù)器的讀/寫訪問操作被準(zhǔn)許的前提下�。這可以導(dǎo)致兩種情況發(fā)生����,一是攻擊者可以查看數(shù)據(jù)庫的內(nèi)容,二是攻擊者刪除數(shù)據(jù)庫的內(nèi)容�����。無論哪一種情況發(fā)生�����,對用戶來說都意味著災(zāi)難��。
很多人可能認(rèn)為����,SQL注入式攻擊需要高深的知識。其實(shí)恰恰相反���,實(shí)質(zhì)上����,任何人,只要對SQL有一個基本的理解并擁有一定的查詢程序(這種程序在互聯(lián)網(wǎng)上比比皆是)���,這種攻擊就可以實(shí)施����。
對抗手段
有許多對抗Web應(yīng)用服務(wù)器攻擊的對策和措施����。對問題的清醒的認(rèn)識無疑是重要的。許多企業(yè)組織正專注于一些需要執(zhí)行的預(yù)防性的措施�,不過卻不知曉這些攻擊是如何執(zhí)行的。如果不理解WEB應(yīng)用服務(wù)器攻擊是如何工作的��,將會使對抗措施不能真正起作用����,簡單地依靠防火墻和入侵防御系統(tǒng)不能從根本上解決問題。例如��,如果你的WEB應(yīng)用服務(wù)器沒有對用戶輸入進(jìn)行過濾���,你就很容易遭受上述類型的攻擊�����。
領(lǐng)先于攻擊者的另一個關(guān)鍵問題是定期對你的WEB應(yīng)用進(jìn)行徹底的檢查����。在技術(shù)領(lǐng)域��,“亡羊補(bǔ)牢���,未為晚也”可能不太適用�,因為如果你不及時檢查修補(bǔ)你的“墻”�����,你丟失的將不僅僅是“羊”��,很有可能是你的整個“羊圈”甚至更多�。
如有意向,請聯(lián)系我們的客戶經(jīng)理
我們會根據(jù)您的需求為你制定詳細(xì)的解決方案
在線咨詢
or 撥打業(yè)務(wù)熱線:186-0984-0880
-
在線咨詢
-
熱線電話
-
解決方案
-
掃一掃
掃一掃
關(guān)注新圖聞科技
全國咨詢熱線
186-0984-0880
-
返回頂部
长子县|
盱眙县|
全南县|
通化市|
蓝山县|
靖安县|
昔阳县|
甘孜县|
濮阳县|
禹城市|
龙州县|
清苑县|
土默特左旗|
松阳县|
濮阳市|
巩留县|
东山县|
太原市|
博客|
蚌埠市|
明星|
大兴区|
肇源县|
临泉县|
叙永县|
尤溪县|
仪陇县|
大厂|
桦川县|
高碑店市|
左权县|
沂水县|
尉犁县|
乌兰察布市|
股票|
邵阳市|
浦县|
叙永县|
康平县|
德兴市|
岑溪市|
