激情五月天婷婷,亚洲愉拍一区二区三区,日韩视频一区,a√天堂中文官网8

<ul id="buwfs"><strike id="buwfs"><strong id="buwfs"></strong></strike></ul>
    <output id="buwfs"></output>
  • <dfn id="buwfs"><source id="buwfs"></source></dfn>
      <dfn id="buwfs"><td id="buwfs"></td></dfn>
      <div id="buwfs"><small id="buwfs"></small></div>
      <dfn id="buwfs"><source id="buwfs"></source></dfn>
      1. <dfn id="buwfs"><td id="buwfs"></td></dfn>
        始創(chuàng)于2000年 股票代碼:831685
        咨詢熱線:0371-60135900 注冊(cè)有禮 登錄
        • 掛牌上市企業(yè)
        • 60秒人工響應(yīng)
        • 99.99%連通率
        • 7*24h人工
        • 故障100倍補(bǔ)償
        全部產(chǎn)品
        您的位置: 網(wǎng)站首頁(yè) > 幫助中心>文章內(nèi)容

        網(wǎng)站被攻擊時(shí)的原因具體分析

        發(fā)布時(shí)間:  2012/9/16 9:04:55

        有時(shí)我們經(jīng)常聽網(wǎng)站管理人員說(shuō)網(wǎng)站被攻擊, 很多人都是痛恨攻擊者, 其實(shí)應(yīng)當(dāng)找出被攻擊的原因, 才能少些麻煩.
          
          IT顧問(wèn)Joel Snyder說(shuō):“他們完全忽略了安全問(wèn)題。當(dāng)你去找你的網(wǎng)站設(shè)計(jì)師時(shí),你要找的實(shí)際上是那些可以建立有趣網(wǎng)站的具有創(chuàng)新意識(shí)的人。有趣是第一位的,可能排在第九位的應(yīng)考慮因素才是網(wǎng)站必須是一個(gè)安全的網(wǎng)站。”
          
          當(dāng)企業(yè)用戶們聽說(shuō)了太多的關(guān)于個(gè)人數(shù)據(jù)被竊的故事之后,網(wǎng)絡(luò)安全已成為企業(yè)用戶們考慮的頭等大事,但是網(wǎng)絡(luò)開發(fā)商卻忽視了安全漏洞給用戶帶來(lái)的危險(xiǎn)。
          
          Forrester公司高級(jí)分析師Khalid Kark說(shuō),安全通常是網(wǎng)站建好之后才會(huì)考慮到的事,一般人很少在建站之前考慮它。最大的問(wèn)題是設(shè)計(jì)師們不會(huì)在網(wǎng)絡(luò)應(yīng)用軟件之間建立保護(hù)機(jī)制來(lái)分割和驗(yàn)證系統(tǒng)各部分之間移動(dòng)的數(shù)據(jù)。大部分網(wǎng)站都是可被攻破的。問(wèn)題的癥結(jié)在于設(shè)計(jì)師們?cè)诮ㄕ镜臅r(shí)候沒(méi)有考慮過(guò)安全問(wèn)題。
          
          這是個(gè)大問(wèn)題,也是非贏利性組織Open Web Application Security Project(OWASP )試圖解決的問(wèn)題之一。OWASP組織在今年發(fā)布了一篇名為《十大最關(guān)鍵的網(wǎng)絡(luò)應(yīng)用軟件安全漏洞》的報(bào)告,提高了網(wǎng)絡(luò)開發(fā)員們對(duì)安全問(wèn)題的嚴(yán)重性的認(rèn)識(shí)。
          
          本文歸納了OWASP組織提出的前十大網(wǎng)絡(luò)漏洞,包括對(duì)每個(gè)問(wèn)題的描述、真實(shí)案例以及如何修復(fù)它們。
          
          1、注入漏洞
          
          問(wèn)題:當(dāng)用戶提供的數(shù)據(jù)被作為指令的一部分發(fā)送到轉(zhuǎn)換器(將文本指令轉(zhuǎn)換成可執(zhí)行的機(jī)器指令)的時(shí)候,黑客會(huì)欺騙轉(zhuǎn)換器。攻擊者可以利用注入漏洞創(chuàng) 建、讀取、更新或者刪除應(yīng)用軟件上的任意數(shù)據(jù)。在最壞的情況下,攻擊者可以利用這些漏洞完全控制應(yīng)用軟件和底層系統(tǒng),甚至繞過(guò)系統(tǒng)底層的防火墻。
          
          真實(shí)案例:俄羅斯黑客在2006年1月份攻破了美國(guó)羅得島政府網(wǎng)站,竊取了大量信用卡資料。黑客們聲稱SQL注入攻擊竊取了5.3萬(wàn)個(gè)信用卡賬號(hào), 而主機(jī)服務(wù)供應(yīng)商則聲稱只被竊取了4113個(gè)信用卡賬號(hào)。
          
          如何保護(hù)用戶:盡可能不要使用轉(zhuǎn)換器。OWASP組織說(shuō):“如果你必須使用轉(zhuǎn)換器,那么,避免遭受注入攻擊的最好方法是使用安全的API,比如參數(shù) 化指令和對(duì)象關(guān)系映射庫(kù)。”
          
          2、跨站腳本(XSS)
          
          問(wèn)題:XSS漏洞是最普遍和最致命的網(wǎng)絡(luò)應(yīng)用軟件安全漏洞,當(dāng)一款應(yīng)用軟件將用戶數(shù)據(jù)發(fā)送到不帶認(rèn)證或者不對(duì)內(nèi)容進(jìn)行編碼的網(wǎng)絡(luò)瀏覽器時(shí)容易發(fā)生。黑客可以利用瀏覽器中的惡意腳本獲得用戶的數(shù)據(jù),破壞網(wǎng)站,插入有害內(nèi)容,以及展開釣魚式攻擊和惡意攻擊。
          
          真實(shí)案例:惡意攻擊者去年針對(duì)Paypal發(fā)起了攻擊,他們將Paypal用戶重新引導(dǎo)到另一個(gè)惡意網(wǎng)站并警告用戶,他們的賬戶已經(jīng)失竊。用戶們被引導(dǎo)到另一個(gè)釣魚式網(wǎng)站上,然后輸入自己的Paypal登錄信息、社會(huì)保險(xiǎn)號(hào)和信用卡資料。Paypal公司稱,它在2006年6月修復(fù)了那個(gè)漏洞。
          
          如何保護(hù)用戶:利用一個(gè)白名單來(lái)驗(yàn)證接到的所有數(shù)據(jù),來(lái)自白名單之外的數(shù)據(jù)一律攔截。另外,還可以對(duì)所有接收到的數(shù)據(jù)進(jìn)行編碼。OWASP說(shuō):“驗(yàn)證機(jī)制可以檢測(cè)攻擊,編碼則可以防止其他惡意攻擊者在瀏覽器上運(yùn)行的內(nèi)容中插入其他腳本。”
          
          3、惡意文件執(zhí)行
          
          問(wèn)題:黑客們可以遠(yuǎn)程執(zhí)行代碼、遠(yuǎn)程安裝rootkits工具或者完全攻破一個(gè)系統(tǒng)。任何一款接受來(lái)自用戶的文件名或者文件的網(wǎng)絡(luò)應(yīng)用軟件都是存在漏洞的。漏洞可能是用PHP語(yǔ)言寫的,PHP是網(wǎng)絡(luò)開發(fā)過(guò)程中應(yīng)用最普遍的一種腳本語(yǔ)言。
          
          真實(shí)案例:一位青少年程序員在2002年發(fā)現(xiàn)了Guess.com網(wǎng)站是存在漏洞的,攻擊者可以從Guess數(shù)據(jù)庫(kù)中竊取20萬(wàn)個(gè)客戶的資料,包括用戶名、信用卡號(hào)和有效期等。Guess公司在次年受到聯(lián)邦貿(mào)易委員會(huì)調(diào)查之后,同意升級(jí)其安全系統(tǒng)。
          
          如何保護(hù)用戶:不要將用戶提供的任何文件寫入基于服務(wù)器的資源,比如鏡像和腳本等。設(shè)定防火墻規(guī)則,防止外部網(wǎng)站與內(nèi)部系統(tǒng)之間建立任何新的連接。
          
          4、不安全的直接對(duì)象參照物
          
          問(wèn)題:攻擊者可以利用直接對(duì)象參照物而越權(quán)存取其他對(duì)象。當(dāng)網(wǎng)站地址或者其他參數(shù)包含了文件、目錄、數(shù)據(jù)庫(kù)記錄或者關(guān)鍵字等參照物對(duì)象時(shí)就可能發(fā)生這種攻擊。
          
          銀行網(wǎng)站通常使用用戶的賬號(hào)作為主關(guān)鍵字,這樣就可能在網(wǎng)絡(luò)接口中暴露用戶的賬號(hào)。
          
          OWASP說(shuō):“數(shù)據(jù)庫(kù)關(guān)鍵字的參照物通常會(huì)泄密。攻擊者可以通過(guò)猜想或者搜索另一個(gè)有效關(guān)鍵字的方式攻擊這些參數(shù)。通常,它們都是連續(xù)的。”


        真實(shí)案例:澳大利亞的一個(gè)稅務(wù)網(wǎng)站在2000年被一位用戶攻破。那位用戶只是在網(wǎng)站地址中更改了稅務(wù)ID賬號(hào)就獲得了1.7萬(wàn)家企業(yè)的詳細(xì)資料。黑客以電子郵件的方式通知了那1.7萬(wàn)家企業(yè),告知它們的數(shù)據(jù)已經(jīng)被破解了。
          
          如何保護(hù)用戶:利用索引,通過(guò)間接參照映射或者另一種間接法來(lái)避免發(fā)生直接對(duì)象參照物泄密。如果你不能避免使用直接參照,那么在使用它們之前必須對(duì)網(wǎng)站訪問(wèn)者進(jìn)行授權(quán)。
          
          5、跨站指令偽造
          
          問(wèn)題:這種攻擊簡(jiǎn)單但破壞性強(qiáng),它可以控制受害人的瀏覽器然后發(fā)送惡意指令到網(wǎng)絡(luò)應(yīng)用軟件上。這種網(wǎng)站是很容易被攻擊的,部分原因是因?yàn)樗鼈兪歉鶕?jù)會(huì)話cookie或者“自動(dòng)記憶”功能來(lái)授權(quán)指令的。各銀行就是潛在的被攻擊目標(biāo)。
          
          Williams說(shuō):“網(wǎng)絡(luò)上99%的應(yīng)用軟件都是易被跨站指令偽造漏洞感染的,F(xiàn)實(shí)中是否發(fā)生過(guò)某人因此被攻擊而損失錢財(cái)?shù)氖履?也許連各銀行都不知道。對(duì)于銀行來(lái)說(shuō),整個(gè)攻擊看起來(lái)就像是用戶登錄到系統(tǒng)中進(jìn)行了一次合法的交易。”
          
          真實(shí)案例:一位名叫Samy的黑客在2005年末利用一個(gè)蠕蟲在MySpace網(wǎng)站上獲得了100萬(wàn)個(gè)“好友”資料,在成千上萬(wàn)個(gè)MySpace網(wǎng)頁(yè)上自動(dòng)出現(xiàn)了“Samy是我的英雄”的文字。攻擊本身也許是無(wú)害的,但是據(jù)說(shuō)這個(gè)案例證明了將跨站腳本與偽造跨站指令結(jié)合在一起所具備的威力。另一個(gè)案例發(fā)生在一年前,Google網(wǎng)站上出現(xiàn)了一個(gè)漏洞,外部網(wǎng)站可以利用那個(gè)漏洞改變用戶的語(yǔ)言偏好設(shè)置。
          
          如何保護(hù)用戶:不要依賴瀏覽器自動(dòng)提交的憑證或者標(biāo)識(shí)。OWASP說(shuō):“解決這個(gè)問(wèn)題的唯一方法是使用一種瀏覽器不會(huì)記住的自定義標(biāo)識(shí)。”
          
          6、信息泄露和錯(cuò)誤處理不當(dāng)
          
          問(wèn)題:各種應(yīng)用軟件產(chǎn)生并顯示給用戶看的錯(cuò)誤信息對(duì)于黑客們來(lái)說(shuō)也是有用的,那些信息可能將用戶的隱私信息、軟件的配置或者其他內(nèi)部資料泄露出去。
          
          OWASP說(shuō):“各種網(wǎng)絡(luò)應(yīng)用軟件經(jīng)常通過(guò)詳細(xì)或者調(diào)試出錯(cuò)信息將內(nèi)部狀態(tài)信息泄露出去。通常,這些信息可能會(huì)導(dǎo)致用戶系統(tǒng)受到更有力的攻擊。”
          
          真實(shí)案例:信息泄露是通過(guò)錯(cuò)誤處理不當(dāng)發(fā)生的,ChoicePoint在2005年的崩潰就是這種類型的典型案例。攻擊者假扮是ChoicePoint的合法用戶在公司人員信息數(shù)據(jù)庫(kù)中尋找某個(gè)人的資料,隨后竊取了16.3萬(wàn)個(gè)消費(fèi)者的記錄資料。ChoicePoint后來(lái)對(duì)包含敏感數(shù)據(jù)的信息產(chǎn)品的銷售進(jìn)行了限制。
          
          如何保護(hù)用戶:利用測(cè)試工具,比如OWASP的WebScarab Project等來(lái)查看應(yīng)用軟件出現(xiàn)的錯(cuò)誤信息。OWASP說(shuō):“未通過(guò)這種方法進(jìn)行測(cè)試的應(yīng)用軟件幾乎肯定會(huì)出現(xiàn)意外錯(cuò)誤信息。”
          
          另一個(gè)方法是:禁止或者限制在錯(cuò)誤處理中使用詳細(xì)信息,不向用戶顯示調(diào)試信息。
          
          7、不安全的認(rèn)證和會(huì)話管理
          
          問(wèn)題:如果應(yīng)用軟件不能自始至終地保護(hù)認(rèn)證證書和會(huì)話標(biāo)識(shí),用戶的管理員賬戶就會(huì)被攻破。應(yīng)注意隱私侵犯和認(rèn)證系統(tǒng)的基礎(chǔ)原理并進(jìn)行有效監(jiān)控。
          
          OWASP說(shuō):“主要驗(yàn)證機(jī)制中經(jīng)常出現(xiàn)各種漏洞,但是攻擊往往是通過(guò)注銷、密碼管理、限時(shí)登錄、自動(dòng)記憶、秘密問(wèn)題和賬戶更新等輔助驗(yàn)證功能展開的。”
          
          真實(shí)案例:微軟公司曾經(jīng)消除過(guò)Hotmail中的一個(gè)漏洞,惡意Java腳本程序員曾經(jīng)在2002年利用這個(gè)漏洞竊取了許多用戶密碼。這個(gè)漏洞是一家聯(lián)網(wǎng)產(chǎn)品轉(zhuǎn)售商發(fā)現(xiàn)的,包含木馬程序的電子郵件可以利用這個(gè)漏洞更換Hotmail用戶的操作界面,迫使用戶不斷重新輸入他們的密碼,并在用戶不知情的情況下將它們發(fā)送給黑客。
          
          如何保護(hù)用戶:通信與認(rèn)證證書存儲(chǔ)應(yīng)確保安全性。傳輸私人文件的SSL協(xié)議應(yīng)該是應(yīng)用軟件認(rèn)證系統(tǒng)中的唯一選擇,認(rèn)證證書應(yīng)以加密的形式進(jìn)行保存。
          
          另一個(gè)方法是:除去認(rèn)證或者會(huì)話管理中使用的自定義cookie。
          
          8、不安全的加密存儲(chǔ)設(shè)備
          
          問(wèn)題:雖然加密本身也是大部分網(wǎng)絡(luò)應(yīng)用軟件中的一個(gè)重要組成部分,但是許多網(wǎng)絡(luò)開發(fā)員沒(méi)有對(duì)存儲(chǔ)中的敏感數(shù)據(jù)進(jìn)行加密。即便是現(xiàn)有的加密技術(shù),其設(shè)計(jì)也是粗制濫造的。
          
          OWASP說(shuō):“這些漏洞可能會(huì)導(dǎo)致用戶敏感數(shù)據(jù)外泄以及破壞系統(tǒng)的一致性。”.
          
          真實(shí)案例:TJX數(shù)據(jù)失竊案中,被竊取的信用卡和提款卡賬號(hào)達(dá)到了4570萬(wàn)個(gè)。加拿大政府調(diào)查后認(rèn)為,TJX未能升級(jí)其數(shù)據(jù)加密系統(tǒng)。
          
          如何保護(hù)用戶:不要開發(fā)你自己的加密算法。最好只使用已經(jīng)經(jīng)過(guò)審批的公開算法,比如AES、RSA公鑰加密以及SHA-256或者更好的SHA-256。

        另外,千萬(wàn)不要在不安全渠道上傳送私人資料。
          
          OWASP說(shuō),現(xiàn)在將信用卡賬號(hào)保存起來(lái)是比較常見的做法,但是明年就是《信用卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)》發(fā)布的最后期限,以后將不再將信用卡賬號(hào)保存起來(lái)。
          
          9、不安全的通信
          
          問(wèn)題:與第8種漏洞類似,這種漏洞出現(xiàn)的原因是因?yàn)樵谛枰獙?duì)包含敏感信息的通信進(jìn)行保護(hù)時(shí)沒(méi)有將網(wǎng)絡(luò)流通的數(shù)據(jù)進(jìn)行加密。攻擊者們可以獲得包括證書和敏感信息的傳送在內(nèi)的各種不受保護(hù)的會(huì)話內(nèi)容。因此,PCI標(biāo)準(zhǔn)要求對(duì)網(wǎng)絡(luò)上傳輸?shù)男庞每ㄐ畔⑦M(jìn)行加密。
          
          真實(shí)案例:這次又是一個(gè)關(guān)于TJX的例子。華爾街日?qǐng)?bào)的報(bào)道稱,調(diào)查員們認(rèn)為,黑客利用了一種類似于望遠(yuǎn)鏡的天線和筆記本電腦來(lái)竊取通過(guò)無(wú)線方式傳輸?shù)挠脩魯?shù)據(jù)。
          
          有報(bào)道稱:“眾多零售商的無(wú)線網(wǎng)絡(luò)安全性還比不上許多人自己的局域網(wǎng)。TJX使用的是WEP加密系統(tǒng)而不是安全性更好的WPA加密系統(tǒng)。
          
          如何保護(hù)用戶:在所有經(jīng)過(guò)認(rèn)證的連接上利用SSL,或者在敏感信息傳輸過(guò)程中使用SSL。SSL或者類似的加密協(xié)議應(yīng)該加載在客戶端、與在線系統(tǒng)有關(guān)的合作伙伴、員工和管理員賬戶上。利用傳輸層安全或者協(xié)議級(jí)加密系統(tǒng)來(lái)保護(hù)基礎(chǔ)結(jié)構(gòu)各部分之間的通信,比如網(wǎng)絡(luò)服務(wù)器與數(shù)據(jù)庫(kù)系統(tǒng)之間的通信。
          
          10、未對(duì)網(wǎng)站地址的訪問(wèn)進(jìn)行限制
          
          問(wèn)題:有些網(wǎng)頁(yè)的訪問(wèn)應(yīng)該是受限于一小部分特權(quán)用戶,比如管理員。然而這些網(wǎng)頁(yè)通常并不具備真正的保護(hù)系統(tǒng),黑客們可以通過(guò)猜測(cè)的方式找出這些地址。  Williams說(shuō),如果某個(gè)網(wǎng)站地址對(duì)應(yīng)的ID號(hào)是123456,那么黑客會(huì)猜想123457對(duì)應(yīng)的地址是什么呢?
          
          針對(duì)這種漏洞的攻擊被稱作強(qiáng)迫瀏覽,通過(guò)猜測(cè)的方式去猜周圍的鏈接并找出未經(jīng)保護(hù)的網(wǎng)頁(yè)。
          
          真實(shí)案例:Macworld Conference大會(huì)網(wǎng)站上有一個(gè)漏洞,用戶可以免費(fèi)獲得價(jià)值1700美元的高級(jí)訪問(wèn)權(quán)限和史蒂夫·喬布斯的演講內(nèi)容。這個(gè)漏洞是在客戶端而非服務(wù)器上評(píng)定用戶的訪問(wèn)權(quán)限的,這樣人們就可以通過(guò)瀏覽器中的Java腳本獲得免費(fèi)權(quán)限。
          
          如何保護(hù)用戶:不要以為用戶們不知道隱藏的地址。所有的網(wǎng)站地址和業(yè)務(wù)功能都應(yīng)受到一個(gè)有效訪問(wèn)控制機(jī)制的保護(hù),這個(gè)機(jī)制可以檢驗(yàn)用戶的身份和權(quán)限。
          
          總之對(duì)網(wǎng)站管理者來(lái)說(shuō), 在網(wǎng)站開發(fā)和運(yùn)行時(shí)多注意以上幾點(diǎn)網(wǎng)站被攻擊的原因, 能減少被攻擊.
         


        本文出自:億恩科技【mszdt.com】

        服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM]

      2. 您可能在找
      3. 億恩北京公司:
      4. 經(jīng)營(yíng)性ICP/ISP證:京B2-20150015
      5. 億恩鄭州公司:
      6. 經(jīng)營(yíng)性ICP/ISP/IDC證:豫B1.B2-20060070
      7. 億恩南昌公司:
      8. 經(jīng)營(yíng)性ICP/ISP證:贛B2-20080012
      9. 服務(wù)器/云主機(jī) 24小時(shí)售后服務(wù)電話:0371-60135900
      10. 虛擬主機(jī)/智能建站 24小時(shí)售后服務(wù)電話:0371-60135900
      11. 專注服務(wù)器托管17年
        掃掃關(guān)注-微信公眾號(hào)
        0371-60135900
        Copyright© 1999-2019 ENKJ All Rights Reserved 億恩科技 版權(quán)所有  地址:鄭州市高新區(qū)翠竹街1號(hào)總部企業(yè)基地億恩大廈  法律顧問(wèn):河南亞太人律師事務(wù)所郝建鋒、杜慧月律師   京公網(wǎng)安備41019702002023號(hào)
          0
         
         
         
         

        0371-60135900
        7*24小時(shí)客服服務(wù)熱線