搭建網(wǎng)站的時(shí)候����,你不應(yīng)該只關(guān)心域名,網(wǎng)站內(nèi)容和網(wǎng)站設(shè)計(jì)�,你更應(yīng)重視網(wǎng)站安全的問(wèn)題。一個(gè)網(wǎng)站建設(shè)者更多地考慮滿足用戶應(yīng)用���,如何實(shí)現(xiàn)業(yè)務(wù)���。很少考慮網(wǎng)站應(yīng)用開(kāi)發(fā)過(guò)程中所存在的漏洞,這些漏洞在不關(guān)注安全代碼設(shè)計(jì)的人員眼里幾乎不可見(jiàn)�����,大多數(shù)網(wǎng)站設(shè)計(jì)開(kāi)發(fā)者����、網(wǎng)站維護(hù)人員對(duì)網(wǎng)站攻防技術(shù)的了解甚少;在正常使用過(guò)程中,即便存在安全漏洞���,正常的使用者并不會(huì)察覺(jué)���。然��,真正的黑客攻擊的手段大家都了解嗎?
攻擊分類---
1����、利用Web服務(wù)器的漏洞進(jìn)行攻擊�����。如CGI緩沖區(qū)溢出�����,目錄遍歷漏洞利用等攻擊;
2���、利用網(wǎng)頁(yè)自身的安全漏洞進(jìn)行攻擊�。如SQL注入���,跨站腳本攻擊等���。
應(yīng)用攻擊
1、緩沖區(qū)溢出——攻擊者利用超出緩沖區(qū)大小的請(qǐng)求和構(gòu)造的二進(jìn)制代碼讓服務(wù)器執(zhí)行溢出堆棧中的惡意指令�����。
2���、Cookie假冒——精心修改cookie數(shù)據(jù)進(jìn)行用戶假冒�。
3�、認(rèn)證逃避——攻擊者利用不安全的證書(shū)和身份管理。
4�、非法輸入——在動(dòng)態(tài)網(wǎng)頁(yè)的輸入中使用各種非法數(shù)據(jù),獲取服務(wù)器敏感數(shù)據(jù)���。
5��、強(qiáng)制訪問(wèn)——訪問(wèn)未授權(quán)的網(wǎng)頁(yè)����。
6�、隱藏變量篡改——對(duì)網(wǎng)頁(yè)中的隱藏變量進(jìn)行修改,欺騙服務(wù)器程序�。
7、拒絕服務(wù)攻擊——構(gòu)造大量的非法請(qǐng)求�����,使Web服務(wù)器不能響應(yīng)正常用戶的訪問(wèn)�。
8��、跨站腳本攻擊——提交非法腳本����,其他用戶瀏覽時(shí)盜取用戶帳號(hào)等信息���。
9�、SQL注入——構(gòu)造SQL代碼讓服務(wù)器執(zhí)行���,獲取敏感數(shù)據(jù)��。
10����、URL 訪問(wèn)限制失效——黑客可以訪問(wèn)非授權(quán)的資源連接強(qiáng)行訪問(wèn)一些登陸網(wǎng)頁(yè)�、歷史網(wǎng)頁(yè)。
11��、被破壞的認(rèn)證和 Session 管理——Session token 沒(méi)有被很好的保護(hù) 在用戶推出系統(tǒng)后����,黑客能夠盜竊 session。
12�、DNS攻擊——黑客利用DNS漏洞進(jìn)行欺騙DNS服務(wù)器�����,從而達(dá)到使DNS解析不正常,IP地址被轉(zhuǎn)向?qū)е戮W(wǎng)站服務(wù)器無(wú)法正常打開(kāi)��。
攻擊手段---
1����、SQL注入
對(duì)于和后臺(tái)數(shù)據(jù)庫(kù)產(chǎn)生交互的網(wǎng)頁(yè),如果沒(méi)有對(duì)用戶輸入數(shù)據(jù)的合法性進(jìn)行全面的判斷��,就會(huì)使應(yīng)用程序存在安全隱患���。用戶可以在可以提交正常數(shù)據(jù)的URL或者表單輸入框中提交一段精心構(gòu)造的數(shù)據(jù)庫(kù)查詢代碼���,使后臺(tái)應(yīng)用執(zhí)行攻擊著的SQL代碼,攻擊者根據(jù)程序返回的結(jié)果��,獲得某些他想得知的敏感數(shù)據(jù)�,如管理員密碼,保密商業(yè)資料等�。
2、跨站腳本攻擊
由于網(wǎng)頁(yè)可以包含由服務(wù)器生成的��、并且由客戶機(jī)瀏覽器解釋的文本和HTML標(biāo)記。如果不可信的內(nèi)容被引入到動(dòng)態(tài)頁(yè)面中�,則無(wú)論是網(wǎng)站還是客戶機(jī)都沒(méi)有足夠的信息識(shí)別這種情況并采取保護(hù)措施。攻擊者如果知道某一網(wǎng)站上的應(yīng)用程序接收跨站點(diǎn)腳本的提交���,他就可以在網(wǎng)上上提交可以完成攻擊的腳本���,如JavaScript、VBScript�、ActiveX、HTML 或 Flash 等內(nèi)容��,普通用戶一旦點(diǎn)擊了網(wǎng)頁(yè)上這些攻擊者提交的腳本�,那么就會(huì)在用戶客戶機(jī)上執(zhí)行,完成從截獲帳戶����、更改用戶設(shè)置、竊取和篡改cookie到虛假?gòu)V告在內(nèi)的種種攻擊行為�。
3、DNS攻擊
黑客使用常見(jiàn)的洪水攻擊����,阻擊DNS服務(wù)器,導(dǎo)致DNS服務(wù)器無(wú)法正常工作,從而達(dá)到域名解析失敗���,造成網(wǎng)站無(wú)法訪問(wèn)����。
蒙特旗下全資子公司杭州漢博為眾多銀行客戶等金融機(jī)構(gòu)提供了網(wǎng)站安全檢測(cè)及加固服務(wù)���,獲得客戶的認(rèn)可和好評(píng),被省通信管理局批準(zhǔn)為經(jīng)營(yíng)性網(wǎng)站提供安全加固服務(wù)的單位之一(加上漢博全省僅三家)�����。同時(shí)為蒙特萬(wàn)家在??蛻籼峁┤娓咝У木S保服務(wù)和安全保障,選擇蒙特網(wǎng)站建設(shè)公司���,保障你的網(wǎng)站安全!
搭建網(wǎng)站的時(shí)候�,你不應(yīng)該只關(guān)心域名�����,網(wǎng)站內(nèi)容和網(wǎng)站設(shè)計(jì),你更應(yīng)重視網(wǎng)站安全的問(wèn)題�����。一個(gè)網(wǎng)站建設(shè)者更多地考慮滿足用戶應(yīng)用�,如何實(shí)現(xiàn)業(yè)務(wù)。很少考慮網(wǎng)站應(yīng)用開(kāi)發(fā)過(guò)程中所存在的漏洞���,這些漏洞在不關(guān)注安全代碼設(shè)計(jì)的人員眼里幾乎不可見(jiàn)���,大多數(shù)網(wǎng)站設(shè)計(jì)開(kāi)發(fā)者、網(wǎng)站維護(hù)人員對(duì)網(wǎng)站攻防技術(shù)的了解甚少;在正常使用過(guò)程中����,即便存在安全漏洞,正常的使用者并不會(huì)察覺(jué)���。然�,真正的黑客攻擊的手段大家都了解嗎?
攻擊分類---
1���、利用Web服務(wù)器的漏洞進(jìn)行攻擊�����。如CGI緩沖區(qū)溢出��,目錄遍歷漏洞利用等攻擊;
2����、利用網(wǎng)頁(yè)自身的安全漏洞進(jìn)行攻擊。如SQL注入�,跨站腳本攻擊等。
應(yīng)用攻擊
1��、緩沖區(qū)溢出——攻擊者利用超出緩沖區(qū)大小的請(qǐng)求和構(gòu)造的二進(jìn)制代碼讓服務(wù)器執(zhí)行溢出堆棧中的惡意指令����。
2���、Cookie假冒——精心修改cookie數(shù)據(jù)進(jìn)行用戶假冒�����。
3�����、認(rèn)證逃避——攻擊者利用不安全的證書(shū)和身份管理��。
4��、非法輸入——在動(dòng)態(tài)網(wǎng)頁(yè)的輸入中使用各種非法數(shù)據(jù)����,獲取服務(wù)器敏感數(shù)據(jù)。
5�����、強(qiáng)制訪問(wèn)——訪問(wèn)未授權(quán)的網(wǎng)頁(yè)�����。
6��、隱藏變量篡改——對(duì)網(wǎng)頁(yè)中的隱藏變量進(jìn)行修改���,欺騙服務(wù)器程序����。
7����、拒絕服務(wù)攻擊——構(gòu)造大量的非法請(qǐng)求�,使Web服務(wù)器不能響應(yīng)正常用戶的訪問(wèn)���。
8�����、跨站腳本攻擊——提交非法腳本��,其他用戶瀏覽時(shí)盜取用戶帳號(hào)等信息����。
9�����、SQL注入——構(gòu)造SQL代碼讓服務(wù)器執(zhí)行�,獲取敏感數(shù)據(jù)��。
10�����、URL 訪問(wèn)限制失效——黑客可以訪問(wèn)非授權(quán)的資源連接強(qiáng)行訪問(wèn)一些登陸網(wǎng)頁(yè)、歷史網(wǎng)頁(yè)�。
11、被破壞的認(rèn)證和 Session 管理——Session token 沒(méi)有被很好的保護(hù) 在用戶推出系統(tǒng)后�,黑客能夠盜竊 session。
12��、DNS攻擊——黑客利用DNS漏洞進(jìn)行欺騙DNS服務(wù)器�,從而達(dá)到使DNS解析不正常,IP地址被轉(zhuǎn)向?qū)е戮W(wǎng)站服務(wù)器無(wú)法正常打開(kāi)��。
攻擊手段---
1�、SQL注入
對(duì)于和后臺(tái)數(shù)據(jù)庫(kù)產(chǎn)生交互的網(wǎng)頁(yè),如果沒(méi)有對(duì)用戶輸入數(shù)據(jù)的合法性進(jìn)行全面的判斷���,就會(huì)使應(yīng)用程序存在安全隱患���。用戶可以在可以提交正常數(shù)據(jù)的URL或者表單輸入框中提交一段精心構(gòu)造的數(shù)據(jù)庫(kù)查詢代碼,使后臺(tái)應(yīng)用執(zhí)行攻擊著的SQL代碼�,攻擊者根據(jù)程序返回的結(jié)果,獲得某些他想得知的敏感數(shù)據(jù)��,如管理員密碼�,保密商業(yè)資料等。
2����、跨站腳本攻擊
由于網(wǎng)頁(yè)可以包含由服務(wù)器生成的����、并且由客戶機(jī)瀏覽器解釋的文本和HTML標(biāo)記�����。如果不可信的內(nèi)容被引入到動(dòng)態(tài)頁(yè)面中�����,則無(wú)論是網(wǎng)站還是客戶機(jī)都沒(méi)有足夠的信息識(shí)別這種情況并采取保護(hù)措施�。攻擊者如果知道某一網(wǎng)站上的應(yīng)用程序接收跨站點(diǎn)腳本的提交,他就可以在網(wǎng)上上提交可以完成攻擊的腳本����,如JavaScript、VBScript�、ActiveX、HTML 或 Flash 等內(nèi)容�,普通用戶一旦點(diǎn)擊了網(wǎng)頁(yè)上這些攻擊者提交的腳本�����,那么就會(huì)在用戶客戶機(jī)上執(zhí)行,完成從截獲帳戶�、更改用戶設(shè)置、竊取和篡改cookie到虛假?gòu)V告在內(nèi)的種種攻擊行為���。
3�����、DNS攻擊
黑客使用常見(jiàn)的洪水攻擊�,阻擊DNS服務(wù)器����,導(dǎo)致DNS服務(wù)器無(wú)法正常工作,從而達(dá)到域名解析失敗��,造成網(wǎng)站無(wú)法訪問(wèn)���。
蒙特旗下全資子公司杭州漢博為眾多銀行客戶等金融機(jī)構(gòu)提供了網(wǎng)站安全檢測(cè)及加固服務(wù)����,獲得客戶的認(rèn)可和好評(píng),被省通信管理局批準(zhǔn)為經(jīng)營(yíng)性網(wǎng)站提供安全加固服務(wù)的單位之一(加上漢博全省僅三家)��。同時(shí)為蒙特萬(wàn)家在??蛻籼峁┤娓咝У木S保服務(wù)和安全保障,選擇蒙特網(wǎng)站建設(shè)公司���,保障你的網(wǎng)站安全!
