搭建網(wǎng)站的時候����,你不應(yīng)該只關(guān)心域名,網(wǎng)站內(nèi)容和網(wǎng)站設(shè)計�,你更應(yīng)重視網(wǎng)站安全的問題。一個網(wǎng)站建設(shè)者更多地考慮滿足用戶應(yīng)用�,如何實(shí)現(xiàn)業(yè)務(wù)。很少考慮網(wǎng)站應(yīng)用開發(fā)過程中所存在的漏洞����,這些漏洞在不關(guān)注安全代碼設(shè)計的人員眼里幾乎不可見,大多數(shù)網(wǎng)站設(shè)計開發(fā)者�、網(wǎng)站維護(hù)人員對網(wǎng)站攻防技術(shù)的了解甚少;在正常使用過程中,即便存在安全漏洞�,正常的使用者并不會察覺。然��,真正的黑客攻擊的手段大家都了解嗎?
攻擊分類---
1、利用Web服務(wù)器的漏洞進(jìn)行攻擊�。如CGI緩沖區(qū)溢出,目錄遍歷漏洞利用等攻擊;
2�、利用網(wǎng)頁自身的安全漏洞進(jìn)行攻擊。如SQL注入�����,跨站腳本攻擊等���。
應(yīng)用攻擊
1��、緩沖區(qū)溢出——攻擊者利用超出緩沖區(qū)大小的請求和構(gòu)造的二進(jìn)制代碼讓服務(wù)器執(zhí)行溢出堆棧中的惡意指令����。
2�、Cookie假冒——精心修改cookie數(shù)據(jù)進(jìn)行用戶假冒。
3��、認(rèn)證逃避——攻擊者利用不安全的證書和身份管理���。
4���、非法輸入——在動態(tài)網(wǎng)頁的輸入中使用各種非法數(shù)據(jù)��,獲取服務(wù)器敏感數(shù)據(jù)���。
5、強(qiáng)制訪問——訪問未授權(quán)的網(wǎng)頁���。
6、隱藏變量篡改——對網(wǎng)頁中的隱藏變量進(jìn)行修改���,欺騙服務(wù)器程序�。
7���、拒絕服務(wù)攻擊——構(gòu)造大量的非法請求�,使Web服務(wù)器不能響應(yīng)正常用戶的訪問����。
8、跨站腳本攻擊——提交非法腳本�����,其他用戶瀏覽時盜取用戶帳號等信息��。
9、SQL注入——構(gòu)造SQL代碼讓服務(wù)器執(zhí)行�,獲取敏感數(shù)據(jù)。
10����、URL 訪問限制失效——黑客可以訪問非授權(quán)的資源連接強(qiáng)行訪問一些登陸網(wǎng)頁、歷史網(wǎng)頁�。
11、被破壞的認(rèn)證和 Session 管理——Session token 沒有被很好的保護(hù) 在用戶推出系統(tǒng)后�����,黑客能夠盜竊 session����。
12����、DNS攻擊——黑客利用DNS漏洞進(jìn)行欺騙DNS服務(wù)器��,從而達(dá)到使DNS解析不正常�����,IP地址被轉(zhuǎn)向?qū)е戮W(wǎng)站服務(wù)器無法正常打開���。
攻擊手段---
1�����、SQL注入
對于和后臺數(shù)據(jù)庫產(chǎn)生交互的網(wǎng)頁���,如果沒有對用戶輸入數(shù)據(jù)的合法性進(jìn)行全面的判斷,就會使應(yīng)用程序存在安全隱患�����。用戶可以在可以提交正常數(shù)據(jù)的URL或者表單輸入框中提交一段精心構(gòu)造的數(shù)據(jù)庫查詢代碼�,使后臺應(yīng)用執(zhí)行攻擊著的SQL代碼�����,攻擊者根據(jù)程序返回的結(jié)果���,獲得某些他想得知的敏感數(shù)據(jù)����,如管理員密碼����,保密商業(yè)資料等��。
2�����、跨站腳本攻擊
由于網(wǎng)頁可以包含由服務(wù)器生成的���、并且由客戶機(jī)瀏覽器解釋的文本和HTML標(biāo)記。如果不可信的內(nèi)容被引入到動態(tài)頁面中�����,則無論是網(wǎng)站還是客戶機(jī)都沒有足夠的信息識別這種情況并采取保護(hù)措施��。攻擊者如果知道某一網(wǎng)站上的應(yīng)用程序接收跨站點(diǎn)腳本的提交�,他就可以在網(wǎng)上上提交可以完成攻擊的腳本,如JavaScript���、VBScript�����、ActiveX�����、HTML 或 Flash 等內(nèi)容���,普通用戶一旦點(diǎn)擊了網(wǎng)頁上這些攻擊者提交的腳本�,那么就會在用戶客戶機(jī)上執(zhí)行�,完成從截獲帳戶、更改用戶設(shè)置�����、竊取和篡改cookie到虛假廣告在內(nèi)的種種攻擊行為����。
3�����、DNS攻擊
黑客使用常見的洪水攻擊��,阻擊DNS服務(wù)器����,導(dǎo)致DNS服務(wù)器無法正常工作��,從而達(dá)到域名解析失敗���,造成網(wǎng)站無法訪問。
蒙特旗下全資子公司杭州漢博為眾多銀行客戶等金融機(jī)構(gòu)提供了網(wǎng)站安全檢測及加固服務(wù),獲得客戶的認(rèn)可和好評���,被省通信管理局批準(zhǔn)為經(jīng)營性網(wǎng)站提供安全加固服務(wù)的單位之一(加上漢博全省僅三家)�。同時為蒙特萬家在?���?蛻籼峁┤娓咝У木S保服務(wù)和安全保障,選擇蒙特網(wǎng)站建設(shè)公司�,保障你的網(wǎng)站安全!
搭建網(wǎng)站的時候,你不應(yīng)該只關(guān)心域名����,網(wǎng)站內(nèi)容和網(wǎng)站設(shè)計,你更應(yīng)重視網(wǎng)站安全的問題�。一個網(wǎng)站建設(shè)者更多地考慮滿足用戶應(yīng)用,如何實(shí)現(xiàn)業(yè)務(wù)。很少考慮網(wǎng)站應(yīng)用開發(fā)過程中所存在的漏洞���,這些漏洞在不關(guān)注安全代碼設(shè)計的人員眼里幾乎不可見�����,大多數(shù)網(wǎng)站設(shè)計開發(fā)者�、網(wǎng)站維護(hù)人員對網(wǎng)站攻防技術(shù)的了解甚少;在正常使用過程中�����,即便存在安全漏洞����,正常的使用者并不會察覺。然���,真正的黑客攻擊的手段大家都了解嗎?
攻擊分類---
1��、利用Web服務(wù)器的漏洞進(jìn)行攻擊。如CGI緩沖區(qū)溢出����,目錄遍歷漏洞利用等攻擊;
2、利用網(wǎng)頁自身的安全漏洞進(jìn)行攻擊。如SQL注入�,跨站腳本攻擊等。
應(yīng)用攻擊
1���、緩沖區(qū)溢出——攻擊者利用超出緩沖區(qū)大小的請求和構(gòu)造的二進(jìn)制代碼讓服務(wù)器執(zhí)行溢出堆棧中的惡意指令���。
2、Cookie假冒——精心修改cookie數(shù)據(jù)進(jìn)行用戶假冒����。
3、認(rèn)證逃避——攻擊者利用不安全的證書和身份管理���。
4�、非法輸入——在動態(tài)網(wǎng)頁的輸入中使用各種非法數(shù)據(jù)��,獲取服務(wù)器敏感數(shù)據(jù)�����。
5�、強(qiáng)制訪問——訪問未授權(quán)的網(wǎng)頁。
6����、隱藏變量篡改——對網(wǎng)頁中的隱藏變量進(jìn)行修改��,欺騙服務(wù)器程序����。
7�、拒絕服務(wù)攻擊——構(gòu)造大量的非法請求,使Web服務(wù)器不能響應(yīng)正常用戶的訪問����。
8、跨站腳本攻擊——提交非法腳本�����,其他用戶瀏覽時盜取用戶帳號等信息����。
9、SQL注入——構(gòu)造SQL代碼讓服務(wù)器執(zhí)行���,獲取敏感數(shù)據(jù)��。
10���、URL 訪問限制失效——黑客可以訪問非授權(quán)的資源連接強(qiáng)行訪問一些登陸網(wǎng)頁、歷史網(wǎng)頁�。
11、被破壞的認(rèn)證和 Session 管理——Session token 沒有被很好的保護(hù) 在用戶推出系統(tǒng)后��,黑客能夠盜竊 session�����。
12�、DNS攻擊——黑客利用DNS漏洞進(jìn)行欺騙DNS服務(wù)器,從而達(dá)到使DNS解析不正常�����,IP地址被轉(zhuǎn)向?qū)е戮W(wǎng)站服務(wù)器無法正常打開�。
攻擊手段---
1、SQL注入
對于和后臺數(shù)據(jù)庫產(chǎn)生交互的網(wǎng)頁�,如果沒有對用戶輸入數(shù)據(jù)的合法性進(jìn)行全面的判斷,就會使應(yīng)用程序存在安全隱患�。用戶可以在可以提交正常數(shù)據(jù)的URL或者表單輸入框中提交一段精心構(gòu)造的數(shù)據(jù)庫查詢代碼,使后臺應(yīng)用執(zhí)行攻擊著的SQL代碼���,攻擊者根據(jù)程序返回的結(jié)果���,獲得某些他想得知的敏感數(shù)據(jù)�,如管理員密碼����,保密商業(yè)資料等。
2�����、跨站腳本攻擊
由于網(wǎng)頁可以包含由服務(wù)器生成的����、并且由客戶機(jī)瀏覽器解釋的文本和HTML標(biāo)記。如果不可信的內(nèi)容被引入到動態(tài)頁面中�����,則無論是網(wǎng)站還是客戶機(jī)都沒有足夠的信息識別這種情況并采取保護(hù)措施�����。攻擊者如果知道某一網(wǎng)站上的應(yīng)用程序接收跨站點(diǎn)腳本的提交�,他就可以在網(wǎng)上上提交可以完成攻擊的腳本,如JavaScript����、VBScript、ActiveX��、HTML 或 Flash 等內(nèi)容���,普通用戶一旦點(diǎn)擊了網(wǎng)頁上這些攻擊者提交的腳本���,那么就會在用戶客戶機(jī)上執(zhí)行,完成從截獲帳戶���、更改用戶設(shè)置����、竊取和篡改cookie到虛假廣告在內(nèi)的種種攻擊行為�。
3、DNS攻擊
黑客使用常見的洪水攻擊���,阻擊DNS服務(wù)器�����,導(dǎo)致DNS服務(wù)器無法正常工作����,從而達(dá)到域名解析失敗,造成網(wǎng)站無法訪問���。
蒙特旗下全資子公司杭州漢博為眾多銀行客戶等金融機(jī)構(gòu)提供了網(wǎng)站安全檢測及加固服務(wù)�,獲得客戶的認(rèn)可和好評����,被省通信管理局批準(zhǔn)為經(jīng)營性網(wǎng)站提供安全加固服務(wù)的單位之一(加上漢博全省僅三家)。同時為蒙特萬家在?��?蛻籼峁┤娓咝У木S保服務(wù)和安全保障�,選擇蒙特網(wǎng)站建設(shè)公司����,保障你的網(wǎng)站安全!
