网站安全需求分析

核心提示：对和后台数据库产生交互的网页，假设没有对用户输进数据的正当性进行全面的判定，就会使利用程序存在安全隐患。用户可以在可以提交正常数据的URL或表单输进框中提交1段精心构造的数据库查询代码，使后台利用履行攻击着的SQL代码，攻击者根据程序返回的结果，取得某

网上随处可见的攻击软件，攻击者不需要对网络协议的深厚理解基础，即可完成诸如更换web网站主页，到取治理员密码，破坏全部网站数据等等攻击。而这些攻击进程中产生的网络层数据，和正常数据没有甚么辨别。

很多人以为，在网络中不断部署防火墙，进侵检测系统（IDS），进侵防御系统（IPS）等设备，可以进步网络的安全性。但是为甚么基于利用的攻击事件依然不断产生？其根本的缘由在于传统的网络安全设备对利用层的攻击防范，作用10分有限。目前的大多防火墙都是工作在网络层，通过对网络层的数据过滤（基于TCP/IP报文头部的ACL）实现访问控制的功能;通过状态防火墙保证内部网络不会被外部网络非法接进。所有的处理都是在网络层，而利用层攻击的特点在网络层次上是没法检测出来的。IDS，IPS通过使用深包检测的技术检查网络数据中的利用层流量，和攻击特点库进行匹配，从而辨认出以知的网络攻击，到达对利用层攻击的防护。但是对未知攻击，和将来才会出现的攻击，和通过灵活编码和报文分割来实现的利用层攻击，IDS和IPS一样不能有效的防护。

主要网站安全题目及其危害

常见的Web攻击分为两类：1是利用Web服务器的漏洞进行攻击，如CGI缓冲区溢出，目录遍历漏洞利用等攻击;2是利用网页本身的安全漏洞进行攻击，如SQL注进，跨站脚本攻击等。常见的针对Web利用的攻击有：

缓冲区溢出——攻击者利用超出缓冲区大小的要求和构造的2进制代码让服务器履行溢出堆栈中的恶意指令

Cookie假冒——精心修改cookie数据进行用户假冒

认证回避——攻击者利用不安全的证书和身份治理

非法输进——在动态网页的输进中使用各种非法数据，获得服务器敏感数据

强迫访问——访问未授权的网页

隐躲变量篡改——对网页中的隐躲变量进行修改，欺骗服务器程序

拒尽服务攻击——构造大量的非法要求，使Web服务器不能相应正常常使用户的访问

跨站脚本攻击——提交非法脚本，其他用户浏览时盗取用户帐号等信息

SQL注进——构造SQL代码让服务器履行，获得敏感数据

下面罗列简单的两个攻击手段进行说明。

SQL注进

对和后台数据库产生交互的网页，假设没有对用户输进数据的正当性进行全面的判定，就会使利用程序存在安全隐患。用户可以在可以提交正常数据的URL或表单输进框中提交1段精心构造的数据库查询代码，使后台利用履行攻击着的SQL代码，攻击者根据程序返回的结果，取得某些他想得知的敏感数据，如治理员密码，保密贸易资料等。

跨站脚本攻击

由于网页可以包括由服务器天生的、并且由客户机浏览器解释的文本和 HTML 标记。假设不可信的内容被引进到动态页面中，则不论是网站还是客户机都没有足够的信息辨认这类情况并采取保护措施。攻击者假设知道某1网站上的利用程序接收跨站点脚本的提交，他便可以够在网上上提交可以完成攻击的脚本，如JavaScript、VBScript、ActiveX、HTML 或 Flash 等内容，普通用户1旦点击了网页上这些攻击者提交的脚本，那末就会在用户客户机上履行，完成从截获帐户、更改用户设置、盗取和篡改 cookie 到虚假广告在内的种种攻击行动。

随着攻击向利用层发展，传统网络安全设备不能有效的解决目前的安全要挟，网络中的利用部署面临的安全题目必须通过1种全新设计的高性能防护利用层攻击的安全防火墙——利用防火墙来解决。利用防火墙通过履行利用会话内部的要求来处理利用层。利用防火墙专门保护Web利用通讯流和所有相干的利用资源免受利用Web协议发动的攻击。利用防火墙可以禁止将利用行动用于恶意目的的浏览器和HTTP攻击。这些攻击包括利用特殊字符或通配符修改数据的数据攻击，想法得到命令串或逻辑语句的逻辑内容攻击，和以账户、文件或主机为主要目标的目标攻击。

以上内容由 最初的模样面貌www.chuancaipu.com为你提供

评论加载中... 内容： 评论者： 验证码：