防止對(duì)WEB應(yīng)用服務(wù)器的三種攻擊
—— 閱讀:11205次
WWW����,也有人稱(chēng)它為WEB����,是應(yīng)用目前互聯(lián)網(wǎng)上增長(zhǎng)最快的網(wǎng)絡(luò)信息服務(wù)����,也是最方便和最受歡迎的信息服務(wù)類(lèi)型。其最大的特點(diǎn)為集成性���,它可以集成多種應(yīng)用���,如FTP、E-Mail��、數(shù)據(jù)庫(kù)等�,這種集成性也使WEB服務(wù)成為最脆弱的服務(wù)器之一。
當(dāng)然��,我們對(duì)安全問(wèn)題越來(lái)越重視����,影響安全的因素有很多。如��,病毒、間諜軟件���、漏洞等���。而惡意軟件由來(lái)已久,遠(yuǎn)遠(yuǎn)超出了我們的記憶����。特別是在當(dāng)今,特洛伊木馬等惡意代碼日益橫行��,這種趨勢(shì)好像并沒(méi)有減緩的跡象����。不過(guò)�����,惡意軟件問(wèn)題比起攻擊者通過(guò)利用脆弱的應(yīng)用程序服務(wù)器竊取大量的關(guān)鍵信息來(lái)說(shuō)�����,顯得還是相形見(jiàn)絀����。
為什么WEB應(yīng)用程序服務(wù)器會(huì)成為攻擊者的靶子?原因很簡(jiǎn)單���,因?yàn)樗鼈兪强梢员还_(kāi)訪問(wèn)的,并且與后端的數(shù)據(jù)庫(kù)服務(wù)器緊密相連����,后端數(shù)據(jù)庫(kù)服務(wù)器存儲(chǔ)著海量的令犯罪分子垂涎三尺的信息。那么�����,攻擊者是怎樣使用前端有WEB應(yīng)用程序攻入后端數(shù)據(jù)庫(kù)服務(wù)器壁壘的呢����。
SQL 注入式攻擊
SQL注入式攻擊如今日益成為互聯(lián)網(wǎng)上竊取機(jī)密信息的受歡迎的途徑。一次SQL注入式攻擊都包含這樣一種方法:攻擊者在一個(gè)WEB表單的搜索字段中輸入一個(gè)SQL查詢(xún)�,如果這個(gè)查詢(xún)被WEB應(yīng)用程序接受,就會(huì)被傳遞到后端的數(shù)據(jù)庫(kù)服務(wù)器來(lái)執(zhí)行它�,當(dāng)然這要建立在從WEB應(yīng)用程序到數(shù)據(jù)庫(kù)服務(wù)器的讀/寫(xiě)訪問(wèn)操作被準(zhǔn)許的前提下。這可以導(dǎo)致兩種情況發(fā)生�,一是攻擊者可以查看數(shù)據(jù)庫(kù)的內(nèi)容,二是攻擊者刪除數(shù)據(jù)庫(kù)的內(nèi)容���。無(wú)論哪一種情況發(fā)生��,對(duì)用戶(hù)來(lái)說(shuō)都意味著災(zāi)難���。
很多人可能認(rèn)為����,SQL注入式攻擊需要高深的知識(shí)�。其實(shí)恰恰相反,實(shí)質(zhì)上���,任何人�,只要對(duì)SQL有一個(gè)基本的理解并擁有一定的查詢(xún)程序(這種程序在互聯(lián)網(wǎng)上比比皆是)�,這種攻擊就可以實(shí)施。
Blind SQL 注入式攻擊
Blind SQL注入式攻擊是發(fā)動(dòng)攻擊的另一個(gè)方法���,但卻是另一種略有不同的方法。在執(zhí)行一次標(biāo)準(zhǔn)的SQL注入式攻擊時(shí)���,攻擊者將一個(gè)SQL查詢(xún)插入到一個(gè)WEB應(yīng)用程序中����,期望使服務(wù)器返回一個(gè)錯(cuò)誤消息��。這種錯(cuò)誤消息能夠使攻擊者獲得用于執(zhí)行更精確的攻擊所需要的信息。這會(huì)致使數(shù)據(jù)庫(kù)管理員相信只要消除這種錯(cuò)誤的消息就會(huì)解決引起SQL注入式攻擊的潛在的問(wèn)題���。管理員可能不會(huì)認(rèn)識(shí)到雖然這樣會(huì)隱藏錯(cuò)誤消息��,這種脆弱性仍然存在�����。這樣會(huì)為攻擊者增加點(diǎn)兒困難�,卻不能阻止攻擊者使用錯(cuò)誤消息收集信息�,攻擊者會(huì)不斷地將偽造的SQL查詢(xún)發(fā)送給服務(wù)器,以期獲得對(duì)數(shù)據(jù)庫(kù)的訪問(wèn)��。
跨站點(diǎn)腳本攻擊
跨站點(diǎn)的腳本攻擊��,也可稱(chēng)為XSS或CSS����,是黑客損害那些提供動(dòng)態(tài)網(wǎng)頁(yè)的WEB應(yīng)用的一種技術(shù)。當(dāng)今的許多WEB站點(diǎn)都提供動(dòng)態(tài)的頁(yè)面�����,這些頁(yè)面由為用戶(hù)動(dòng)態(tài)建造的多個(gè)源站點(diǎn)的信息組成。如果WEB站點(diǎn)管理員不注意這個(gè)問(wèn)題�����,惡意內(nèi)容能夠插入到Web頁(yè)面中�����,以收集機(jī)密信息或簡(jiǎn)單地用戶(hù)端系統(tǒng)上執(zhí)行����。
對(duì)抗手段
有許多對(duì)抗Web應(yīng)用服務(wù)器攻擊的對(duì)策和措施。對(duì)問(wèn)題的清醒的認(rèn)識(shí)無(wú)疑是最重要的�����。許多企業(yè)組織正專(zhuān)注于一些需要執(zhí)行的預(yù)防性的措施��,不過(guò)卻不知曉這些攻擊是如何執(zhí)行的�����。如果不理解WEB應(yīng)用服務(wù)器攻擊是如何工作的����,將會(huì)使對(duì)抗措施不能真正起作用,簡(jiǎn)單地依靠防火墻和入侵防御系統(tǒng)不能從根本上解決問(wèn)題����。例如,如果你的WEB應(yīng)用服務(wù)器沒(méi)有對(duì)用戶(hù)輸入進(jìn)行過(guò)濾���,你就很容易遭受上述類(lèi)型的攻擊�����。
領(lǐng)先于攻擊者的另一個(gè)關(guān)鍵問(wèn)題是定期對(duì)你的WEB應(yīng)用進(jìn)行徹底的檢查���。在技術(shù)領(lǐng)域,“亡羊補(bǔ)牢����,未為晚也”可能不太適用,因?yàn)槿绻悴患皶r(shí)檢查修補(bǔ)你的“墻”�,你丟失的將不僅僅是“羊”,很有可能是你的整個(gè)“羊圈”甚至更多�。
