@Allure
2年前 提问
1个回答

攻击者针对web网页的攻击手段有哪些

房乐
2年前

攻击者针对web网页的攻击手段有以下这些:

  • 网站被“黑”:一种最广为人知的攻击方式是网站被“黑”式攻击。这不仅是因为其结果是可见的,也是因为实施起来比较容易。网站的设计存在缺陷,使得代码可以下载,这就允许攻击者能够获取全部超文本文档和在加载进程中与客户相关的所有程序。攻击者甚至可以看到编程者在创建或者维护代码时遗留下来的注解。下载进程实质上为攻击者提供了一份该网站的规划图。

  • 缓冲区溢出:网页也存在缓冲区溢出问题。攻击者向一段程序中输入大量数据,比其预期所要接收的数据多得多;由于缓冲区的大小是有限的,所以过剩的数据就会溢出到相邻的代码和数据区域中去。

  • “../”问题:网页服务器代码应该一直在一个受到限制的环境中运行。在理想情况下,网页服务器上应该没有编辑器、Xterm和Telnet程序,甚至连绝大多数系统应用程序都不应该安装。通过这种方式限制了网页服务器的运行环境以后,即使攻击者从网页服务器的应用程序区跳到了别处,也没有其他可执行程序可以帮助攻击者使用网页服务器所在的计算机和操作系统来扩大攻击的范围。用于网页应用程序的代码和数据可以采用手工方式传送到网页服务器。

  • 应用代码错误:用户的浏览器与网页服务器之间传递着一种复杂而且无状态的协议交换。网页服务器为了使自己的工作更轻松一些,向用户传递一些上下文字符串,而要求用户浏览器用全部上下文进行应答。一旦用户可以修改这种上下文内容,就会出现问题。

  • 服务器端包含:一种具有代表性的更严重的问题称为服务器端包含(Server-Side Include)问题。该问题利用了一个事实:网页中可以自动调用一个特定的函数。例如,很多页面的最后都显示了一个“请与我联系”链接,并使用一些Web命令来发送电子邮件消息。这些命令(比如E-mail、if、goto和include等)都被置于某一个区域,以便转换成HTML语言。

加强网页服务器使用时安全的措施有以下这些

  • 制定内部数据安全风险管理制度:制定公司内部数据泄露和其他类型的安全风险协议,包括分配不同部门以及人员管理账号、密码等权限,定期更新密码避免被黑客盗取,以及其他可行措施。

  • 及时更新软件版本:及时更新软件版本,以避免你的服务器安全处于危险之中,使其漏洞被黑客利用并入侵。使用专业的安全漏洞扫描程序是一种保持软件实时更新的方式之一。

  • 定期对服务器进行备份:为防止不能预料的系统故障或用户不小心的非法操作,必须对系统进行安全备份。除了对全系统进行每月一次的备份外,还应对修改过的数据进行每周一次的备份。同时,应该将修改过的重要系统文件存放在不同服务器上,如果原始数据不幸损坏、丢失等情况发生时,你可以利用备份数据保证业务正常运行。

  • 定期安全检测:定期进行安全检测,确保服务器安全,在非默认端口上设置标准和关键服务、保证防火墙处于最佳设置等,定期进行安全扫描,防止病毒入侵。

  • 关闭不需要的服务和端口:服务器操作系统在安装时,会启动一些不需要的服务,这样会占用系统的资源,而且也会增加系统的安全隐患。对于一段时间内完全不会用到的服务器,可以完全关闭。

  • 安装和设置防火墙:现在有许多基于硬件或软件的防火墙,很多安全厂商也都推出了相关的产品。对服务器安全而言,安装防火墙非常必要。这样进入服务器中的流量都是经常防火墙过滤之后的流量,防火墙内其他的流量直接被隔离出来,防火墙中一定要安装入侵检测和入侵防御系统,这样才能发挥防火墙的最大作用。在安装防火墙之后,你需要根据自身的网络环境,对防火墙进行适当的配置以达到最好的防护效果。

  • 安装网络杀毒软件:现在网络上的病毒非常猖獗,这就需要安装商业级反恶意软件和反病毒引擎,对服务器进行实时保护。同时,在网络杀毒软件的使用中,必须要定期或及时升级杀毒软件,并且每天自动更新病毒库。

  • 监测系统日志:通过运行系统日志程序,系统会记录下所有用户使用系统的情形,包括最近登录时间、使用的账号、进行的活动等。日志程序会定期生成报表,通过对报表进行分析,你可以知道是否有异常现象。

  • 接入专业的高防服务:目前DDOS还没有什么彻底解决的方法,只能通过专业的网络高防服务进行防御。