发现并防止对WEB应用服务器的三种攻击
来源:IT.com.cn 发布时间:2008-12-23 15:54:00
WWW,也有人称它为WEB,是应用目前互联网上增长最快的网络信息服务,也是最方便和最受欢迎的信息服务类型。其最大的特点为集成性,它可以集成多种应用,如FTP、E-Mail、数据库等,这种集成性也使WEB服务成为最脆弱的服务器之一。
当然,我们对安全问题越来越重视,影响安全的因素有很多。如,病毒、间谍软件、漏洞等。而恶意软件由来已久,远远超出了我们的记忆。特别是在当今,特洛伊木马等恶意代码日益横行,这种趋势好像并没有减缓的迹象。不过,恶意软件问题比起攻击者通过利用脆弱的应用程序服务器窃取大量的关键信息来说,显得还是相形见绌。
为什么WEB应用程序服务器会成为攻击者的靶子?原因很简单,因为它们是可以被公开访问的,并且与后端的数据库服务器紧密相连,后端数据库服务器存储着海量的令犯罪分子垂涎三尺的信息。那么,攻击者是怎样使用前端有WEB应用程序攻入后端数据库服务器壁垒的呢。
SQL 注入式攻击
SQL注入式攻击如今日益成为互联网上窃取机密信息的受欢迎的途径。一次SQL注入式攻击都包含这样一种方法:攻击者在一个WEB表单的搜索字段中输入一个SQL查询,如果这个查询被WEB应用程序接受,就会被传递到后端的数据库服务器来执行它,当然这要建立在从WEB应用程序到数据库服务器的读/写访问操作被准许的前提下。这可以导致两种情况发生,一是攻击者可以查看数据库的内容,二是攻击者删除数据库的内容。无论哪一种情况发生,对用户来说都意味着灾难。
很多人可能认为,SQL注入式攻击需要高深的知识。其实恰恰相反,实质上,任何人,只要对SQL有一个基本的理解并拥有一定的查询程序(这种程序在互联网上比比皆是),这种攻击就可以实施。
Blind SQL 注入式攻击
Blind SQL注入式攻击是发动攻击的另一个方法,但却是另一种略有不同的方法。在执行一次标准的SQL注入式攻击时,攻击者将一个SQL查询插入到一个WEB应用程序中,期望使服务器返回一个错误消息。这种错误消息能够使攻击者获得用于执行更精确的攻击所需要的信息。这会致使数据库管理员相信只要消除这种错误的消息就会解决引起SQL注入式攻击的潜在的问题。管理员可能不会认识到虽然这样会隐藏错误消息,这种脆弱性仍然存在。这样会为攻击者增加点儿困难,却不能阻止攻击者使用错误消息收集信息,攻击者会不断地将伪造的SQL查询发送给服务器,以期获得对数据库的访问。
跨站点脚本攻击
跨站点的脚本攻击,也可称为XSS或CSS,是黑客损害那些提供******页的WEB应用的一种技术。当今的许多WEB站点都提供动态的页面,这些页面由为用户动态建造的多个源站点的信息组成。如果WEB站点管理员不注意这个问题,恶意内容能够插入到Web页面中,以收集机密信息或简单地用户端系统上执行。
对抗手段
有许多对抗Web应用服务器攻击的对策和措施。对问题的清醒的认识无疑是最重要的。许多企业组织正专注于一些需要执行的预防性的措施,不过却不知晓这些攻击是如何执行的。如果不理解WEB应用服务器攻击是如何工作的,将会使对抗措施不能真正起作用,简单地依靠防火墙和入侵防御系统不能从根本上解决问题。例如,如果你的WEB应用服务器没有对用户输入进行过滤,你就很容易遭受上述类型的攻击。
领先于攻击者的另一个关键问题是定期对你的WEB应用进行彻底的检查。在技术领域,“亡羊补牢,未为晚也”可能不太适用,因为如果你不及时检查修补你的“墙”,你丢失的将不仅仅是“羊”,很有可能是你的整个“羊圈”甚至更多。
猜你喜欢
- 常用组件主要包括Aspjpeg、Jmail、LyfUpload、动易、ISAPI_ReWrite等,本文就仅说这5种,其他类型组件可以根据需
- 10月20日,2009中国数码产品网上零售峰会今天在北京举办,本次峰会主题是蓝天·碧海·数码新大陆,搜狐IT现场直播本次峰会。以下是阿里巴巴
- 算算从12月17日晚上正式把小站放到服务器上开始已经一个月了,我就把我这一个月的体会与大家分享一下。我2000年就开始接触网络,2003年做
- 中国的站长比中国的牛还多;吹牛的站长比喝啤酒吹酒瓶的人要多,不会吧?看到某篇文章这么写的。个人做站,很多人为了兴趣,业余做站,交流思想技术交
- asp之家祝大家2008年春节快乐,工作顺利!我们这,太阳探了一下小脸,又开始下雪了,今年的雪真的带来 * 烦了。“迎击风雪 回家过年”成了第
- SNS已经在国内互联网界发展得如火如荼,许多站长准备借势而动,搭建属于自己的SNS站点。但在核心程序的选用上,究竟怎样的选择才是最合理、最专
- 在我们的这一轮巡讲中,有很多发布商问了关于广告投放数量的限制,主要包括三个方面:1. 一个页面最多可以投放多少个广告单元?2. 一个账户可以
- 很多phpcms的用户有疑问为什么通过审核的文章在前台无法编辑了,文章链接后边显示灰色的 编辑|删除,其实这也是官方出于安全考虑才这么做的.
- dedecms关键词长度修改统一方法第一步:数据表修改首先将数据表中的keyword的varchar()改为varchar(任意长度,例如2
- 10月12日消息,据路透社11日报道,英国媒体集团BSkyB将于下周发布数字音乐服务-Sky Songs。该集团希望能够通过此举,在音乐下载
- 国庆长假是市民上网的高峰期,瑞星反病毒专家提醒网民,近期通过MSN、QQ、U盘等传播的蠕虫病毒有泛滥的趋势,一些带有木马特征的病
- Easy CGI在1998年成立于美国纽约,专业提供Windows平台的虚拟主机,与Microsoft有良好的合作关系,算是Windows主
- EQ,是均衡器equalizer的缩写,它的基本作用是通过对声音某一个或多个频段进行增益或衰减,以达到调整音效的目的。EQ(均衡器)的出现,
- 其实这个问题只要将请求网页HTTP内容明白就好解决.请求HTTP头内容如下:GET 你的网址 HTTP/1.1Accept: image/g
- 精神是灵魂。国家精神是国家之“魂”,民族精神是民族之“魂”,站长精神是站长之“魂”! 何谓站长精神?&n
- 网络一个虚拟的空间,却笼络了这么多的人心.由此可以看出它的魔力.现在SP的萧条,使一些电影站点与音乐站点纷纷找买主,因为有的连服务器费用都赚
- Godaddy主机用户可以为其Linux共享托管帐户里的每个目录设置多个不同的目录许可。这样就可以控制哪些人能访问你的文档,他们在这些目录里
- 《消费心理软文学》是由老谢我提出的一门新学科,即商品生产,随之而来的是贸易商品生产和贸易往来促使生产者、 经营者、消费者程度不同地开始关注与
- 之前,探讨了地方网站的文化建设与新闻推广,今天和大家交流的主题是地方网站的情感培育。这里,着重谈“怀旧&rdqu
- 在很早之前,麦田老师抛出“博客过时论”之后,就真的再也没有见麦田老师更新过博客,似乎是从本身的行动来证明自己的言论。从那时起或者是更早之前,