國(guó)內(nèi)外黑客組織或者個(gè)人為牟取利益竊取和篡改網(wǎng)絡(luò)信息,已成為不爭(zhēng)的事實(shí)�,在不斷給單位和個(gè)人造成經(jīng)濟(jì)損失的同時(shí),我們也應(yīng)該注意到這些威脅大多是基于Web網(wǎng)站發(fā)起的攻擊�����,在給我們?cè)斐刹豢赏旎氐膿p失前����,我們有必要給大家介紹幾種常見(jiàn)的網(wǎng)站漏洞,以及這些漏洞的防范方法�����,目的是幫助廣大網(wǎng)站管理者理清安全防范思緒�����,找到當(dāng)前的防范重點(diǎn)����,最大程度地避免或減少威脅帶來(lái)的損失���。
1�、SQL語(yǔ)句漏洞
也就是SQL注入,就是通過(guò)把SQL命令插入到Web表單遞交或輸入域名或頁(yè)面請(qǐng)求的查詢(xún)字符串�,最終達(dá)到欺騙服務(wù)器執(zhí)行惡意的SQL命令,比如先前的很多影視網(wǎng)站泄露VIP會(huì)員密碼大多就是通過(guò)WEB表單遞交查詢(xún)字符暴出的�,這類(lèi)表單特別容易受到SQL注入式攻擊。
有效防范手段:對(duì)于SQL注入問(wèn)題的一般處理方法是賬戶(hù)最小權(quán)限原則���。以下幾種方法推薦使用:
對(duì)用戶(hù)輸入信息進(jìn)行必要檢查
對(duì)一些特殊字符進(jìn)行轉(zhuǎn)換或者過(guò)濾
使用強(qiáng)數(shù)據(jù)類(lèi)型
限制用戶(hù)輸入的長(zhǎng)度
需要注意:這些檢查要放在server運(yùn)行��,client提交的任何東西都是不可信的���。使用存儲(chǔ)過(guò)程,如果一定要使用SQL語(yǔ)句����,那么請(qǐng)用標(biāo)準(zhǔn)的方式組建SQL語(yǔ)句。比如可以利用parameters對(duì)象�����,避免用字符串直接拼SQL命令�。當(dāng)SQL運(yùn)行出錯(cuò)時(shí),不要把數(shù)據(jù)庫(kù)返回的錯(cuò)誤信息全部顯示給用戶(hù)��,錯(cuò)誤信息經(jīng)常會(huì)透露一些數(shù)據(jù)庫(kù)設(shè)計(jì)的細(xì)節(jié)�����。
2、網(wǎng)站掛馬
掛馬就是在別人電腦里面(或是網(wǎng)站服務(wù)器)里植入木馬程序����,以盜取一些信息或者控制被掛馬的電腦做一些不法的勾當(dāng)(如攻擊網(wǎng)站,傳播病毒�,刪除資料等)。網(wǎng)頁(yè)掛馬就是在網(wǎng)頁(yè)的源代碼中加入一些代碼��,利用漏洞實(shí)現(xiàn)自動(dòng)下載木馬到機(jī)器里����。網(wǎng)站掛馬的形式可分為框架掛馬、數(shù)據(jù)庫(kù)掛馬���、后臺(tái)掛馬、服務(wù)器掛馬以及其他形式的掛馬方式�。
有效防范手段:要防止網(wǎng)站被掛馬,可以采取禁止寫(xiě)入和目錄禁止執(zhí)行的功能�,這兩項(xiàng)功能相組合,就可以有效地防止 ASP木馬�����。此外,網(wǎng)站管理員通過(guò)FTP上傳某些數(shù)據(jù)���,維護(hù)網(wǎng)頁(yè)時(shí)��,盡量不安裝asp的上傳程序�。這對(duì)于常被ASP木馬影響的網(wǎng)站來(lái)說(shuō)����,會(huì)有一些幫助。當(dāng)然是用專(zhuān)業(yè)的查殺木馬工具也是不錯(cuò)的防護(hù)措施���。
需要注意:管理員權(quán)限的用戶(hù)名和密碼要有一定復(fù)雜性��,并只允許信任的人使用上傳程序����。
3���、XSS跨站攻擊
XSS又叫CSS (Cross Site Script) �����,屬于被動(dòng)式的攻擊�����,跨站腳本攻擊�����。它指的是惡意攻擊者往Web頁(yè)面里插入惡意html代碼(攻擊者有時(shí)也會(huì)在網(wǎng)頁(yè)中加入一些以.JS或.VBS為后尾名的代碼)��,當(dāng)用戶(hù)瀏覽該頁(yè)之時(shí)����,嵌入其中Web里面的html代碼會(huì)被執(zhí)行,從而達(dá)到惡意用戶(hù)的特殊目的����。
有效防范手段:對(duì)于XSS跨站攻擊的防范分為對(duì)網(wǎng)站和對(duì)個(gè)人分別來(lái)講。
對(duì)于網(wǎng)站�,堅(jiān)決不要相信任何用戶(hù)輸入并過(guò)濾所有特殊字符,這樣可以消滅絕大部分的XSS攻擊��。
對(duì)于個(gè)人�����,保護(hù)自己的最好方法就是僅點(diǎn)擊你想訪問(wèn)的那個(gè)網(wǎng)站上的鏈接���。有時(shí)候XSS會(huì)在你打開(kāi)電子郵件�、打開(kāi)附件��、閱讀留言板����、閱讀論壇時(shí)自動(dòng)進(jìn)行,當(dāng)你打開(kāi)電子郵件或是在公共論壇上閱讀你不認(rèn)識(shí)的人的帖子時(shí)一定要注意�����。最好的解決辦法就是關(guān)閉瀏覽器的 Javascript 功能���。在IE中可以將安全級(jí)別設(shè)置為最高����,可以防cookie被盜�����。
實(shí)際上�����,上面三種網(wǎng)站攻擊是目前較為流行和常見(jiàn)的,而防范手段對(duì)于專(zhuān)業(yè)的網(wǎng)站管理者來(lái)說(shuō)���,只是經(jīng)驗(yàn)之談�����,但我們非常清楚的知道���,網(wǎng)站漏洞層出不窮,能否及時(shí)防御�、修復(fù),是網(wǎng)站能否安全運(yùn)行的決定因素����。單靠技術(shù)人員的手動(dòng)修復(fù)是不可能做到面面俱到的,需要對(duì)網(wǎng)站漏洞敏感程度較高的軟件來(lái)有效的保障網(wǎng)站的安全�。筆者作為一名51CTO安全頻道的客座專(zhuān)家也深知這一點(diǎn),在這里向廣大網(wǎng)站管理和運(yùn)維人員推薦一款性?xún)r(jià)比較高的軟件:UnisWebScanner��。
這款網(wǎng)站安全掃描器是目前市場(chǎng)上使用比較廣泛的����,而且是Web安全性?xún)r(jià)比不錯(cuò)的一款安全產(chǎn)品,相比國(guó)外的Web安全掃描產(chǎn)品來(lái)說(shuō)���,UnisWebScanner速度快�,可以緊密跟蹤國(guó)內(nèi)最新網(wǎng)頁(yè)木馬�����,達(dá)到快速響應(yīng)和及時(shí)更新能力���;筆者之所以推薦給廣大51CTO的廣大用戶(hù)����,更為重要的一些原因是�,UnisWebScanner的掃描結(jié)果非常準(zhǔn)確,而且不含惡意軟件和廣告軟件��,相信這一點(diǎn)對(duì)于很多網(wǎng)站管理者來(lái)說(shuō)�,都是至關(guān)重要的。
該軟件主要是針對(duì)Web安全性進(jìn)行弱點(diǎn)評(píng)估的智能檢測(cè)系統(tǒng)��,整合了當(dāng)前各類(lèi)流行Web攻擊手段�,如網(wǎng)頁(yè)掛馬攻擊、SQL注入漏洞����、跨站腳本攻擊等�,是多年研究積累的經(jīng)驗(yàn)之作���。UnisWebScanner適用于通過(guò)internet���、intranet、extranet進(jìn)行網(wǎng)上交易或信息發(fā)布的大�、中、小企業(yè)���,如金融���、證券、政府�、電子商務(wù)、電信運(yùn)營(yíng)商��、基金���、網(wǎng)游�、科研院所等各類(lèi)企事業(yè)單位�。
關(guān)鍵詞標(biāo)簽:網(wǎng)站漏洞攻擊防范
火絨安全軟件開(kāi)啟懸浮窗的方法-怎么限制和設(shè)置軟件網(wǎng)速
火絨安全軟件怎么攔截廣告-火絨設(shè)置廣告攔截的方法
網(wǎng)絡(luò)安全管理軟件-PCHunter使用教程