欢迎访问宏点网络,兰州宏点信息技术有限责任公司是甘肃省知名网络公司,品牌兰州网络公司 - 主要从事网站建设、网站维护及全景漫游等业务

宏点网络是从业 16 年 成功完成 1365 个网站建设项目的 网站建设专家
首页 > 行业 > 新锐视点

新锐视点先锋新锐的行业视点

网站管理员应该了解的web常见攻击手段及安全防护

2017年9月12日() | 打印内容 打印内容

随着Web应用的发展,网站发挥了越来越重要的角色,越来越多的网站由于存在自身安全隐患而被频繁遭受各种外来攻击,导致网站的敏感数据泄露、网络页面被篡改、甚至网络平台成为传播木马的傀儡,以至于给很多访问者造成损害,给网站带来严重损失。网站管理和防护越来越重要,防护平台可通过管理平台集中下发安全防护策略,从而实现批量的安全防护,另外,管理员也可按需对防护站点群中的某些站点进行策略下发,从而满足差异化防护要求。

1 Web攻击手段

当前最常见的针对Web攻击的手段有以下几种。

1.1 关于SQL的注入

关于SQL的注入标准释义,是将一些存在恶意的SQL命令利用现有的程序应用来进行恶意的选择,最后重新注入到后台数据库,从而进行去引擎执行的能力。

B/S模式较多地被程序员去选择,用做应用程序的编写,但由于实际中,相关开发人员的水平和技能经验还不足,导致大部分的开发技术人员在进行程序代码编写时,并没有严格针对用户数据信息做出合法合理性判断,比如页面或数据中携带的Cookie信息等,最终导致外来攻击者会根据所反馈的应用程序结果,来进行提交数据库并查询代码所在的应用程序,从中顺藤摸瓜获取所需数据。

关于SQL的注入,所利用的服务窗口都是一些HTTP正常运行的窗口,起码在表面上看起来与正常Web访问并没有任何区别,隐蔽性相对比较强,比较很难被察觉。

1.2 跨站脚本攻击(XSS)

跨站脚本攻击(Cross Site Scripting),为了不与层叠样式表(Cascading Style Sheets,CSS)的缩写混淆。故将跨站脚本缩写攻击缩写为XSS。它是一种计算机安全漏洞,经常会出现在WEB应用中。XSS允许恶意的Web用户将脚本代码去植入到公共页面并提供给其他用户所使用。其中包括HTML的代码和客户端的脚本。攻击者利用XSS的安全漏洞去旁路掉访问控制——例如一些同源策略(英文俗称same origin policy)。这种类型的漏洞比较广为人知,是由于被黑客编写phishing攻击而危害性更大所造成。具体XSS攻击所造成的危害包括:

(1)各类用户账号的盗取,比如用户网银账号、机器登录账号及各类管理员账号;

(2)企业数据的被控制,包括读取、添加、删除及篡改企业的敏感数据;

(3)具有商业价值的企业资料被盗取;

(4)非法转账;

(5)电子邮件的被强制发送;

(6)网站挂马;

(7)操控受害者机器并向其他网站发起攻击。

123

上篇:

下篇:

来源(互联网) 作者(佚名) 阅读()

相关内容
    400-6808-205

    24小时全国统一客服专线

    在线接待 在线支付
    • 请扫描微信服务号二维码
    • 请扫描在线QQ号二维码
    网罗客品牌是宏点网络面向客户的内容服务平台:资讯门户 / 电子期刊 / 新浪微博 / 腾讯微博

    甘公网安备 62010002000245号 | 陇ICP备15001403号