网站安全需求分析
来源:asp之家 发布时间:2009-06-01 09:02:00
网上随处可见的攻击软件,攻击者不需要对网络协议的深厚理解基础,即可完成诸如更换web网站主页,到取管理员密码,破坏整个网站数据等等攻击。而这些攻击过程中产生的网络层数据,和正常数据没有什么区别。
很多人认为,在网络中不断部署防火墙,入侵检测系统(IDS),入侵防御系统(IPS)等设备,可以提高网络的安全性。但是为何基于应用的攻击事件仍然不断发生?其根本的原因在于传统的网络安全设备对于应用层的攻击防范,作用十分有限。目前的大多防火墙都是工作在网络层,通过对网络层的数据过滤(基于TCP/IP报文头部的ACL)实现访问控制的功能;通过状态防火墙保证内部网络不会被外部网络非法接入。所有的处理都是在网络层,而应用层攻击的特征在网络层次上是无法检测出来的。IDS,IPS通过使用深包检测的技术检查网络数据中的应用层流量,和攻击特征库进行匹配,从而识别出以知的网络攻击,达到对应用层攻击的防护。但是对于未知攻击,和将来才会出现的攻击,以及通过灵活编码和报文分割来实现的应用层攻击,IDS和IPS同样不能有效的防护。
主要网站安全问题及其危害
常见的Web攻击分为两类:一是利用Web服务器的漏洞进行攻击,如CGI缓冲区溢出,目录遍历漏洞利用等攻击;二是利用网页自身的安全漏洞进行攻击,如SQL注入,跨站脚本攻击等。常见的针对Web应用的攻击有:
缓冲区溢出——攻击者利用超出缓冲区大小的请求和构造的二进制代码让服务器执行溢出堆栈中的恶意指令
Cookie假冒——精心修改cookie数据进行用户假冒
认证逃避——攻击者利用不安全的证书和身份管理
非法输入——在 * 页的输入中使用各种非法数据,获取服务器敏感数据
强制访问——访问未授权的网页
隐藏变量篡改——对网页中的隐藏变量进行修改,欺骗服务器程序
拒绝服务攻击——构造大量的非法请求,使Web服务器不能相应正常用户的访问
跨站脚本攻击——提交非法脚本,其他用户浏览时盗取用户帐号等信息
SQL注入——构造SQL代码让服务器执行,获取敏感数据
下面列举简单的两个攻击手段进行说明。
SQL注入
对于和后台数据库产生交互的网页,如果没有对用户输入数据的合法性进行全面的判断,就会使应用程序存在安全隐患。用户可以在可以提交正常数据的URL或者表单输入框中提交一段精心构造的数据库查询代码,使后台应用执行攻击着的SQL代码,攻击者根据程序返回的结果,获得某些他想得知的敏感数据,如管理员密码,保密商业资料等。
跨站脚本攻击
由于网页可以包含由服务器生成的、并且由客户机浏览器解释的文本和 HTML 标记。如果不可信的内容被引入到动态页面中,则无论是网站还是客户机都没有足够的信息识别这种情况并采取保护措施。攻击者如果知道某一网站上的应用程序接收跨站点脚本的提交,他就可以在网上上提交可以完成攻击的脚本,如JavaScript、VBScript、ActiveX、HTML 或 Flash 等内容,普通用户一旦点击了网页上这些攻击者提交的脚本,那么就会在用户客户机上执行,完成从截获帐户、更改用户设置、窃取和篡改 cookie 到虚假广告在内的种种攻击行为。
随着攻击向应用层发展,传统网络安全设备不能有效的解决目前的安全威胁,网络中的应用部署面临的安全问题必须通过一种全新设计的高性能防护应用层攻击的安全防火墙——应用防火墙来解决。应用防火墙通过执行应用会话内部的请求来处理应用层。应用防火墙专门保护Web应用通信流和所有相关的应用资源免受利用Web协议发动的攻击。应用防火墙可以阻止将应用行为用于恶意目的的浏览器和HTTP攻击。这些攻击包括利用特殊字符或通配符修改数据的数据攻击,设法得到命令串或逻辑语句的逻辑内容攻击,以及以账户、文件或主机为主要目标的目标攻击。
以上内容由 最初的模样www.chuancaipu.com为你提供
猜你喜欢
- 前两日,雷军被传离开金山集团,我即兴写了点感想文字。文中大胆分析雷军离开的原因关键在于和求总在战略发展上存在分歧,文章末尾还预测了雷军下一步
- 很多人会认为SEO很简单,很多人也会认为SEO很迷惑?简单的是什么呢?大家会认为SEO就是做关键词排名,就是做流量;迷惑的又是什么呢?除了做
- phpcms实现站内搜索自动对应频道的代码:<form method="get"
- 笔者虽然经过多次实践总结经验写成了Windows2003设置教程,但还是难免有错误,本篇就来说说教程中的错误之一:MSSQL运行在普通用户权
- 广告商愿意为了能够准确定位目标用户的广告增加投入,帮广告商将广告定位到准确的目标用户,您的网站就可以获得更高的广告收入。为了实现这一目标,这
- 理解了活动目录的原理之后,现在我们就可以进行活动目录的安装与配置了,活动目录的安装配置过程并不是很复杂,因为WIN2K中提供了安装向导,只需
- 最新消息,康盛创想(Comsenz)核心社区产品Discuz!NT 3.0版本官方已经测试上线。作为一款引领社区论坛开放潮流的ASP.net
- “我知道你想问什么,但是这件事情,目前我什么都不能说。”昨天晚上,申花队一行人飞抵重庆,备战明天下午与重庆力帆队的中超比赛。与以往经常随队出
- 网站更换域名后通常会进行网址301重定向,通过301重定向可以把旧域名的权重转移到新域名,把不带www的域名权重转移到带www的域名,有利于
- 下面的信息都是在VMware中运行Ubuntu12-04系统上执行的。同样该命令也支持在嵌入式系统中进行USB调试。一、cat设备节点获取信
- 1、博大精深的美食文化中国美食自古以来在就在全世界有着重要的地位,拥有6万多种传统菜点、2万多种工业食品、五光十色的筵宴和流光溢彩的风味流派
- VMware Workstation 是一个虚拟PC的软件,利用VMware工作站,可以在现有的操作系统上虚拟出一个或多个新的硬件环境,相当
- 谈到广告联盟我想站长朋友们都知道,也都比我熟悉。它是绝大部分网站的收入来源。现在在国内外,也有不少的广告联盟。在国内做得比较好的,比较知名的
- 很多站长都挂上了联盟的广告来赢利,而联盟大多都以百度、GG为主,站长们在通过了审核之后,放好广告,并想尽办法的去优化,以求获得更好的点击率,
- 网络经济的持续发展,电子商务观念也得到大多数人的认同之际,一向在网络上从事窃取、破坏资料的黑客也同样变得异常活跃。黑客的网络捣乱行为每年可能
- 如果你关注过nginx,必定知道nginx这个软件有什么用的,如果你的网站访问量越来越高,一台服务器已经没有办法承受流量压力,那就增多几台服
- 小编最近在追一部由安以轩、吴建豪主演的偶像剧--《下一站,幸福》,这部剧目前的收视率还不错,但离大家的期望值貌似还差那么一点点。看到很多粉丝
- 来看看是否有你的大名,呵呵!也许《时代周刊》把“你”评选为了年度风云人物,然而,这个“你”并不是互联网上最有权势或者最有影响力的人.其实,针
- 很多新站长都在为自己的网站推广而头痛,寻求友情链接,提交网站目录,搜索引擎,忙乎了很久也不见什么效果。下面就我对自己的网站推广和公司网站推广
- 在终端下使用vim进行编辑时,默认情况下,编辑的界面上是没有显示行号、语法高亮度显示、智能缩进等功能的。为了更好的在vim下进行工作,需要手