防止對WEB應用伺服器的三種攻擊

來源:互聯網
上載者:User

WWW,也有人稱它為WEB,是應用目前互連網上增長最快的網路資訊服務,也是最方便和最受歡迎的資訊服務類型。其最大的特點為整合性,它可以整合多種應用,如FTP、E-Mail、資料庫等,這種整合性也使WEB服務成為最脆弱的伺服器之一。

當然,我們對安全問題越來越重視,影響安全的因素有很多。如,病毒、間諜軟體、漏洞等。而惡意軟體由來已久,遠遠超出了我們的記憶。特別是在當今,特洛伊木馬等惡意代碼日益橫行,這種趨勢好像並沒有減緩的跡象。不過,惡意軟體問題比起攻擊者通過利用脆弱的應用程式伺服器竊取大量的關鍵資訊來說,顯得還是相形見絀。

為什麼WEB應用程式伺服器會成為攻擊者的靶子?原因很簡單,因為它們是可以被公開訪問的,並且與後端的資料庫伺服器緊密相連,後端資料庫伺服器儲存著海量的令犯罪分子垂涎三尺的資訊。那麼,攻擊者是怎樣使用前端有WEB應用程式攻入後端資料庫伺服器壁壘的呢。

SQL 注入式攻擊

SQL注入式攻擊如今日益成為互連網上竊取機密資訊的受歡迎的途徑。一次SQL注入式攻擊都包含這樣一種方法:攻擊者在一個WEB表單的搜尋欄位中輸入一個SQL查詢,如果這個查詢被WEB應用程式接受,就會被傳遞到後端的資料庫伺服器來執行它,當然這要建立在從WEB應用程式到資料庫伺服器的讀/寫訪問操作被准許的前提下。這可以導致兩種情況發生,一是攻擊者可以查看資料庫的內容,二是攻擊者刪除資料庫的內容。無論哪一種情況發生,對使用者來說都意味著災難。

很多人可能認為,SQL注入式攻擊需要高深的知識。其實恰恰相反,實質上,任何人,只要對SQL有一個基本的理解並擁有一定的查詢程式(這種程式在互連網上比比皆是),這種攻擊就可以實施。

Blind SQL 注入式攻擊

Blind SQL注入式攻擊是發動攻擊的另一個方法,但卻是另一種略有不同的方法。在執行一次標準的SQL注入式攻擊時,攻擊者將一個SQL查詢插入到一個WEB應用程式中,期望使伺服器返回一個錯誤訊息。這種錯誤訊息能夠使攻擊者獲得用於執行更精確的攻擊所需要的資訊。這會致使資料庫管理員相信只要消除這種錯誤的訊息就會解決引起SQL注入式攻擊的潛在的問題。管理員可能不會認識到雖然這樣會隱藏錯誤訊息,這種脆弱性仍然存在。這樣會為攻擊者增加點兒困難,卻不能阻止攻擊者使用錯誤訊息收集資訊,攻擊者會不斷地將偽造的SQL查詢發送給伺服器,以期獲得對資料庫的訪問。

跨網站指令碼攻擊

跨網站的指令碼攻擊,也可稱為XSS或CSS,是駭客損害那些提供動態網頁的WEB應用的一種技術。當今的許多WEB網站都提供動態頁面,這些頁面由為使用者動態建造的多個來源站點點的資訊組成。如果WEB網站管理員不注意這個問題,惡意內容能夠插入到Web頁面中,以收集機密資訊或簡單地使用者端系統上執行。

對抗手段

有許多對抗Web應用伺服器攻擊的對策和措施。對問題的清醒的認識無疑是最重要的。許多企業組織正專註於一些需要執行的預防性的措施,不過卻不知曉這些攻擊是如何執行的。如果不理解WEB應用伺服器攻擊是如何工作的,將會使對抗措施不能真正起作用,簡單地依靠防火牆和入侵防禦系統不能從根本上解決問題。例如,如果你的WEB應用伺服器沒有對使用者輸入進行過濾,你就很容易遭受上述類型的攻擊。

領先於攻擊者的另一個關鍵問題是定期對你的WEB應用進行徹底的檢查。在技術領域,“亡羊補牢,未為晚也”可能不太適用,因為如果你不及時檢查修補你的“牆”,你丟失的將不僅僅是“羊”,很有可能是你的整個“羊圈”甚至更多。



相關文章

Alibaba Cloud 10 Year Anniversary

With You, We are Shaping a Digital World, 2009-2019

Learn more >

Apsara Conference 2019

The Rise of Data Intelligence, September 25th - 27th, Hangzhou, China

Learn more >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。