深圳网站建设公司——易捷网络科技欢迎您!网站建设业务咨询:13530125766
深圳网站建设,深圳网络公司
 
——技术支持——
网站 为什么容易被攻击_网站运营_深圳网络公司_易捷网络

  网站 为什么容易被攻击?每一 个站长都不希望自己的网站被攻击, 防患于未然,找出被攻击的原因, 减少些麻烦.才是最关键的,分析 研究预防网站被攻击的有段也是非赢利性组织Open Web Application Security Project(OWASP )试图解决的问题之一。本文归纳了OWASP组织 提出的前十大网络漏洞,包括 对每个问题的描述、真实 案例以及如何修复网站漏洞。

  1、注入漏洞

  问题:当用 户提供的数据被作为指令的一部分发送到转换器(将文 本指令转换成可执行的机器指令)的时候,黑客会欺骗转换器。攻击 者可以利用注入漏洞创 建、读取、更新 或者删除应用软件上的任意数据。在最坏的情况下,攻击 者可以利用这些漏洞完全控制应用软件和底层系统,甚至 绕过系统底层的防火墙。

  真实案例:俄罗斯黑客在2006年1月份 攻破了美国罗得岛政府网站,窃取 了大量信用卡资料。黑客们声称SQL注入攻击窃取了5.3万个信用卡账号, 而主 机服务供应商则声称只被窃取了4113个信用卡账号。

  如何保护用户:尽可 能不要使用转换器。OWASP组织说:“如果 你必须使用转换器,那么,避免 遭受注入攻击的最好方法是使用安全的API,比如参数 化指 令和对象关系映射库。”

  2、跨站脚本(XSS)

  问题:XSS漏洞 是最普遍和最致命的网络应用软件安全漏洞,当一 款应用软件将用户数据发送到不带认证或者不对内容进行编码的网络浏览器时容易发生。黑客 可以利用浏览器中的恶意脚本获得用户的数据,破坏网站,插入有害内容,以及 展开钓鱼式攻击和恶意攻击。

  真实案例:恶意攻击者去年针对Paypal发起了攻击,他们将Paypal用户 重新引导到另一个恶意网站并警告用户,他们的账户已经失窃。用户 们被引导到另一个钓鱼式网站上,然后输入自己的Paypal登录信息、社会 保险号和信用卡资料。Paypal公司称,它在2006年6月修复了那个漏洞。

  如何保护用户:利用 一个白名单来验证接到的所有数据,来自 白名单之外的数据一律拦截。另外,还可 以对所有接收到的数据进行编码。OWASP说:“验证 机制可以检测攻击,编码 则可以防止其他恶意攻击者在浏览器上运行的内容中插入其他脚本。”

  3、恶意文件执行

  问题:黑客 们可以远程执行代码、远程安装rootkits工具 或者完全攻破一个系统。任何 一款接受来自用户的文件名或者文件的网络应用软件都是存在漏洞的。漏洞可能是用PHP语言写的,PHP是网 络开发过程中应用最普遍的一种脚本语言。

  真实案例:一位青少年程序员在2002年发现了Guess.com网站是存在漏洞的,攻击者可以从Guess数据库中窃取20万个客户的资料,包括用户名、信用卡号和有效期等。Guess公司 在次年受到联邦贸易委员会调查之后,同意升级其安全系统。

  如何保护用户:不要 将用户提供的任何文件写入基于服务器的资源,比如镜像和脚本等。设定防火墙规则,防止 外部网站与内部系统之间建立任何新的连接。

  4、不安 全的直接对象参照物

  问题:攻击 者可以利用直接对象参照物而越权存取其他对象。当网 站地址或者其他参数包含了文件、目录、数据 库记录或者关键字等参照物对象时就可能发生这种攻击。

  银行 网站通常使用用户的账号作为主关键字,这样 就可能在网络接口中暴露用户的账号。

  OWASP说:“数据 库关键字的参照物通常会泄密。攻击 者可以通过猜想或者搜索另一个有效关键字的方式攻击这些参数。通常,它们都是连续的。”

  真实案例:澳大 利亚的一个税务网站在2000年被一位用户攻破。那位 用户只是在网站地址中更改了税务ID账号就获得了1.7万家企业的详细资料。黑客 以电子邮件的方式通知了那1.7万家企业,告知 它们的数据已经被破解了。

  如何保护用户:利用索引,通过 间接参照映射或者另一种间接法来避免发生直接对象参照物泄密。如果 你不能避免使用直接参照,那么 在使用它们之前必须对网站访问者进行授权。

  5、跨站指令伪造

  问题:这种 攻击简单但破坏性强,它可 以控制受害人的浏览器然后发送恶意指令到网络应用软件上。这种 网站是很容易被攻击的,部分 原因是因为它们是根据会话cookie或者“自动记忆”功能来授权指令的。各银 行就是潜在的被攻击目标。

  Williams说:“网络上99%的应 用软件都是易被跨站指令伪造漏洞感染的。现实 中是否发生过某人因此被攻击而损失钱财的事呢?也许 连各银行都不知道。对于银行来说,整个 攻击看起来就像是用户登录到系统中进行了一次合法的交易。”

  真实案例:一位名叫Samy的黑客在2005年末利用一个蠕虫在MySpace网站上获得了100万个“好友”资料,在成千上万个MySpace网页上自动出现了“Samy是我的英雄”的文字。攻击 本身也许是无害的,但是 据说这个案例证明了将跨站脚本与伪造跨站指令结合在一起所具备的威力。另一 个案例发生在一年前,Google网站 上出现了一个漏洞,外部 网站可以利用那个漏洞改变用户的语言偏好设置。

  如何保护用户:不要 依赖浏览器自动提交的凭证或者标识。OWASP说:“解决 这个问题的唯一方法是使用一种浏览器不会记住的自定义标识。”

  6、信息 泄露和错误处理不当

  问题:各种 应用软件产生并显示给用户看的错误信息对于黑客们来说也是有用的,那些 信息可能将用户的隐私信息、软件 的配置或者其他内部资料泄露出去。

  OWASP说:“各种 网络应用软件经常通过详细或者调试出错信息将内部状态信息泄露出去。通常,这些 信息可能会导致用户系统受到更有力的攻击。”

  真实案例:信息 泄露是通过错误处理不当发生的,ChoicePoint在2005年的 崩溃就是这种类型的典型案例。攻击者假扮是ChoicePoint的合 法用户在公司人员信息数据库中寻找某个人的资料,随后窃取了16.3万个 消费者的记录资料。ChoicePoint后来 对包含敏感数据的信息产品的销售进行了限制。

  如何保护用户:利用测试工具,比如OWASP的WebScarab Project等来 查看应用软件出现的错误信息。OWASP说:“未通 过这种方法进行测试的应用软件几乎肯定会出现意外错误信息。”

  另一个方法是:禁止 或者限制在错误处理中使用详细信息,不向 用户显示调试信息。

  7、不安 全的认证和会话管理

  问题:如果 应用软件不能自始至终地保护认证证书和会话标识,用户 的管理员账户就会被攻破。应注 意隐私侵犯和认证系统的基础原理并进行有效监控。

  OWASP说:“主要 验证机制中经常出现各种漏洞,但是 攻击往往是通过注销、密码管理、限时登录、自动记忆、秘密 问题和账户更新等辅助验证功能展开的。”

  真实案例:微软公司曾经消除过Hotmail中的一个漏洞,恶意Java脚本程序员曾经在2002年利 用这个漏洞窃取了许多用户密码。这个 漏洞是一家联网产品转售商发现的,包含 木马程序的电子邮件可以利用这个漏洞更换Hotmail用户的操作界面,迫使 用户不断重新输入他们的密码,并在 用户不知情的情况下将它们发送给黑客。

  如何保护用户:通信 与认证证书存储应确保安全性。传输私人文件的SSL协议 应该是应用软件认证系统中的唯一选择,认证 证书应以加密的形式进行保存。

  另一个方法是:除去 认证或者会话管理中使用的自定义cookie。

  8、不安 全的加密存储设备

  问题:虽然 加密本身也是大部分网络应用软件中的一个重要组成部分,但是 许多网络开发员没有对存储中的敏感数据进行加密。即便 是现有的加密技术,其设 计也是粗制滥造的。

  OWASP说:“这些 漏洞可能会导致用户敏感数据外泄以及破坏系统的一致性。”.

  真实案例:TJX数据失窃案中,被窃 取的信用卡和提款卡账号达到了4570万个。加拿 大政府调查后认为,TJX未能 升级其数据加密系统。

  如何保护用户:不要 开发你自己的加密算法。最好 只使用已经经过审批的公开算法,比如AES、RSA公钥加密以及SHA-256或者更好的SHA-256。

  另外,千万 不要在不安全渠道上传送私人资料。

  OWASP说,现在 将信用卡账号保存起来是比较常见的做法,但是明年就是《信用 卡行业数据安全标准》发布的最后期限,以后 将不再将信用卡账号保存起来。

  9、不安全的通信

  问题:与第8种漏洞类似,这种 漏洞出现的原因是因为在需要对包含敏感信息的通信进行保护时没有将网络流通的数据进行加密。攻击 者们可以获得包括证书和敏感信息的传送在内的各种不受保护的会话内容。因此,PCI标准 要求对网络上传输的信用卡信息进行加密。

  真实案例:这次又是一个关于TJX的例子。华尔街日报的报道称,调查员们认为,黑客 利用了一种类似于望远镜的天线和笔记本电脑来窃取通过无线方式传输的用户数据。

  有报道称:“众多 零售商的无线网络安全性还比不上许多人自己的局域网。TJX使用的是WEP加密 系统而不是安全性更好的WPA加密系统。

  如何保护用户:在所 有经过认证的连接上利用SSL,或者 在敏感信息传输过程中使用SSL。SSL或者 类似的加密协议应该加载在客户端、与在 线系统有关的合作伙伴、员工和管理员账户上。利用 传输层安全或者协议级加密系统来保护基础结构各部分之间的通信,比如 网络服务器与数据库系统之间的通信。

  10、未对 网站地址的访问进行限制

  问题:有些 网页的访问应该是受限于一小部分特权用户,比如管理员。然而 这些网页通常并不具备真正的保护系统,黑客 们可以通过猜测的方式找出这些地址。 Williams说,如果 某个网站地址对应的ID号是123456,那么黑客会猜想123457对应的地址是什么呢?

  针对 这种漏洞的攻击被称作强迫浏览,通过 猜测的方式去猜周围的链接并找出未经保护的网页。

  真实案例:Macworld Conference大会 网站上有一个漏洞,用户 可以免费获得价值1700美元 的高级访问权限和史蒂夫·乔布斯的演讲内容。这个 漏洞是在客户端而非服务器上评定用户的访问权限的,这样 人们就可以通过浏览器中的Java脚本获得免费权限。

  如何保护用户:不要 以为用户们不知道隐藏的地址。所有 的网站地址和业务功能都应受到一个有效访问控制机制的保护,这个 机制可以检验用户的身份和权限。

  总之 对网站管理者来说, 在网 站开发和运行时多注意以上几点网站被攻击的原因, 能减少被攻击。

更多 网络知识及相关网络服务请QQ咨询深圳网络公司QQ:1141557812

添加日期:2018-11-26信息来源:深圳网站建设公司
关于易捷
>>公司简介
>>服务范围
>>联系地址
>>支付方式
服务范围
>>企业网站建设
>>企业邮箱申请
>>企业品牌推广
>>网站维护托管
>>企业400电话
技术支持
>>企业网站建设技术
>>网站推广优化技术
>>企业邮箱技术支持
>>网站 维护托管技术支持
联系我们
微信:13530125766
博客:新浪博客
微博:
邮箱:ejaket@outlook.com
电话:13530125766
在线客服
全国服务热线
13530125766
关闭
网站版权所有:深圳 市易捷网络科技有限公司    中华 人民共和国工业和信息化部网站备案号:粤ICP备12084881号-2
友情链接:    6号彩票网   荣鼎彩票   热购彩票   888彩票   幸运蛋蛋