防範指令碼入侵,你做好準備了嗎?

來源:互聯網
上載者:User
指令碼     作為網路系統管理員,不少朋友也同時負責單位的網站開發維護的工作,對於WEB開發我想大家都比較精通,可是對如何編寫安全的指令碼代碼和入侵者如何通過WEB方式對伺服器進行滲透的,可能就不是很清楚了,有不少朋友錯誤的認為我的伺服器有硬體防火牆,而且只開了80連接埠,是不會有網路安全問題的。下面我就向大家介紹幾種比較常見的指令碼攻擊的方法,讓大家從中能夠找到安全防護的方法,從而提高伺服器的安全性。  

  1. 簡單的指令碼攻擊

  此類攻擊是由於WEB程式編寫上對特殊字元過濾不嚴密所造成的,雖說不能對伺服器的安全造成嚴重威脅,可是卻可以使入侵者發布含有HTML語句的惡意代碼,擾亂網站秩序,從而對網站產生不良影響。下面給大家舉個例子:某網站在進行使用者註冊時,沒有對特殊字元進行過濾,就有可能被無聊者利用,假設論壇的管理員ID為:webmaster,那就有可能有人在註冊使用者名稱時註冊成 webmaster ,儘管ID有區別,可是在頁面顯示卻是一樣的,如果無聊者把其他的資訊改的和webmaster一樣,那別人就很難區分這兩個ID哪個是真的哪個是假的。有不少網站有自己開發的留言板,而且支援提交HTML留言,這就給破壞者提供了機會,他們可以寫一個自動快顯視窗並開啟一個帶木馬的網頁的代碼,這樣別人在瀏覽這條留言時就有可能被種下木馬。防範方法很簡單,加個過濾函數就可以了:

  〈%
  function SqlCheck(fString)
   fString = Replace(fString, "'","")
   fString = Replace(fString, " ","")
   fString = Replace(fString, ";","")
   fString = Replace(fString, "--","")
   fString = Replace(fString, ",","")
   fString = Replace(fString, "(","")
   fString = Replace(fString, ")","")
   fString = Replace(fString, "=","")
   fString = Replace(fString, "%","")
   fString = Replace(fString, "*","")
   fString = Replace(fString, "<","")
   fString = Replace(fString, ">","")
   SqlCheck = fString
  end function
  %〉

  以上過濾函數中的String = Replace(fString, "<","") fString = Replace(fString, ">","")可以去掉語句中的“<”和“>”符號,使HTML代碼無法運行。  

  2. Sql Injection 漏洞攻擊

  也叫Sql注入攻擊,是目前比較常見的一種WEB攻擊方法,它利用了通過構造特殊的SQL語句,而對資料庫進行跨表查詢的攻擊,通過這種方式很容易使入侵者得到一個WebShell,然後利用這個WebShell做進一步的滲透,直至得到系統的系統管理權限,所以這種攻擊方式危害很大。建議大家使用NBSI,小榕的WED+WIS等注入工具對自己的網站掃描一下,看是否存在此漏洞。還有一種比較特殊的Sql注入漏洞,之所以說比較特殊,是因為它是通過構造特殊的SQL語句,來欺騙鑒別使用者身份代碼的,比如入侵者找到後台管理入口後,在管理使用者名和密碼輸入“'or '1'='1'”、“'or''='”、“') or ('a'='a”、“" or "a"="a”、“' or 'a'='a”、“' or 1=1--”等這類字串(不包含引號),提交,就有可能直接進入後台管理介面,由此也可以看出對特殊字元進行過濾是多麼的重要。還有一點要注意,一定不要讓別人知道網站的後台管理頁面地址,除了因為上面的原因外,這也可以防止入侵者通過暴力破解後台管理使用者名和密碼等方法進入後台管理。這類攻擊的防範方法除了加上面提到的過濾函數外,還要屏蔽網站的錯誤資訊,同時也需要配置好IIS的執行許可權,以前的雜誌也詳細介紹過防範方法,在這裡不做詳細說明。  

  3.對整站系統和論壇的攻擊

  不少網站使用一些比如動易,喬客,動網,BBSXP等知名度高,功能強大的系統和論壇,由於這些系統的功能強大,所以不可避免的就帶來了不小的安全風險。因為可以從網上直接得到這些系統的代碼,再加上使用這些系統的網站比較多,所以研究這些系統漏洞的人也就很多,我們也就經常會在網上可以看到某某系統又出最新漏洞的文章,建議大家經常不週期性去這些系統的官方網站下載最新的補丁。  

  本文主要是為了讓廣大的WEB程式開發人員提高安全意識和找到防範入侵者的方法,通過研究上面的一些入侵方法來防範入侵者的攻擊,請大家不要利用本文介紹的一些方法用於攻擊別人上,由本文方法造成任何損失,由使用者負責,本人概不負責。



相關文章

E-Commerce Solutions

Leverage the same tools powering the Alibaba Ecosystem

Learn more >

Apsara Conference 2019

The Rise of Data Intelligence, September 25th - 27th, Hangzhou, China

Learn more >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。