2023-05-17 分類: 網(wǎng)站建設(shè)
WWW,也有人稱它為WEB,是應用目前互聯(lián)網(wǎng)上增長快的網(wǎng)絡(luò)信息服務(wù),也是方便和受歡迎的信息服務(wù)類型。其大的特點為集成性,它可以集成多種應用,如FTP、E-Mail、數(shù)據(jù)庫等,這種集成性也使WEB服務(wù)成為脆弱的服務(wù)器之一。
當然,我們對安全問題越來越重視,影響安全的因素有很多。如,病毒、間諜軟件、漏洞等。而惡意軟件由來已久,遠遠超出了我們的記憶。特別是在當今,特洛伊木馬等惡意代碼日益橫行,這種趨勢好像并沒有減緩的跡象。不過,惡意軟件問題比起攻擊者通過利用脆弱的應用程序服務(wù)器竊取大量的關(guān)鍵信息來說,顯得還是相形見絀。
為什么WEB應用程序服務(wù)器會成為攻擊者的靶子?原因很簡單,因為它們是可以被公開訪問的,并且與后端的數(shù)據(jù)庫服務(wù)器緊密相連,后端數(shù)據(jù)庫服務(wù)器存儲著海量的令犯罪分子垂涎三尺的信息。那么,攻擊者是怎樣使用前端有WEB應用程序攻入后端數(shù)據(jù)庫服務(wù)器壁壘的呢。創(chuàng)新互聯(lián)成都網(wǎng)絡(luò)公司帶你了解對WEB應用服務(wù)器的三種攻擊:
跨站點腳本攻擊
跨站點的腳本攻擊,也可稱為XSS或CSS,是黑客損害那些提供動態(tài)網(wǎng)頁的WEB應用的一種技術(shù)。當今的許多WEB站點都提供動態(tài)的頁面,這些頁面由為用戶動態(tài)建造的多個源站點的信息組成。如果WEB站點管理員不注意這個問題,惡意內(nèi)容能夠插入到Web頁面中,以收集機密信息或簡單地用戶端系統(tǒng)上執(zhí)行。
Blind SQL 注入式攻擊
Blind SQL注入式攻擊是發(fā)動攻擊的另一個方法,但卻是另一種略有不同的方法。在執(zhí)行一次標準的SQL注入式攻擊時,攻擊者將一個SQL查詢插入到一個WEB應用程序中,期望使服務(wù)器返回一個錯誤消息。這種錯誤消息能夠使攻擊者獲得用于執(zhí)行更精確的攻擊所需要的信息。這會致使數(shù)據(jù)庫管理員相信只要消除這種錯誤的消息就會解決引起SQL注入式攻擊的潛在的問題。管理員可能不會認識到雖然這樣會隱藏錯誤消息,這種脆弱性仍然存在。這樣會為攻擊者增加點兒困難,卻不能阻止攻擊者使用錯誤消息收集信息,攻擊者會不斷地將偽造的SQL查詢發(fā)送給服務(wù)器,以期獲得對數(shù)據(jù)庫的訪問。
SQL 注入式攻擊
SQL注入式攻擊如今日益成為互聯(lián)網(wǎng)上竊取機密信息的受歡迎的途徑。一次SQL注入式攻擊都包含這樣一種方法:攻擊者在一個WEB表單的搜索字段中輸入一個SQL查詢,如果這個查詢被WEB應用程序接受,就會被傳遞到后端的數(shù)據(jù)庫服務(wù)器來執(zhí)行它,當然這要建立在從WEB應用程序到數(shù)據(jù)庫服務(wù)器的讀/寫訪問操作被準許的前提下。這可以導致兩種情況發(fā)生,一是攻擊者可以查看數(shù)據(jù)庫的內(nèi)容,二是攻擊者刪除數(shù)據(jù)庫的內(nèi)容。無論哪一種情況發(fā)生,對用戶來說都意味著災難。
很多人可能認為,SQL注入式攻擊需要高深的知識。其實恰恰相反,實質(zhì)上,任何人,只要對SQL有一個基本的理解并擁有一定的查詢程序(這種程序在互聯(lián)網(wǎng)上比比皆是),這種攻擊就可以實施。
對抗手段
有許多對抗Web應用服務(wù)器攻擊的對策和措施。對問題的清醒的認識無疑是重要的。許多企業(yè)組織正專注于一些需要執(zhí)行的預防性的措施,不過卻不知曉這些攻擊是如何執(zhí)行的。如果不理解WEB應用服務(wù)器攻擊是如何工作的,將會使對抗措施不能真正起作用,簡單地依靠防火墻和入侵防御系統(tǒng)不能從根本上解決問題。例如,如果你的WEB應用服務(wù)器沒有對用戶輸入進行過濾,你就很容易遭受上述類型的攻擊。
于攻擊者的另一個關(guān)鍵問題是定期對你的WEB應用進行徹底的檢查。在技術(shù)領(lǐng)域,“亡羊補牢,未為晚也”可能不太適用,因為如果你不及時檢查修補你的“墻”,你丟失的將不僅僅是“羊”,很有可能是你的整個“羊圈”甚至更多。
本文標題:對WEB應用服務(wù)器的三種攻擊以及如何防止
網(wǎng)站地址:http://www.rwnh.cn/news/259609.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供搜索引擎優(yōu)化、外貿(mào)建站、網(wǎng)站制作、小程序開發(fā)、全網(wǎng)營銷推廣、定制網(wǎng)站
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內(nèi)容