网站安全知识

| 小龙

网站安全知识一:

问:什么叫木马?

答:木马(Trojan)这个名字来源于古希腊传说,在互联网时代它通常是指通过一段特定的程序(木马程序)来控制另一台计算机。木马通常有两个可执行程序:一个是客户端,即控制端,另一个是服务端,即被控制端。木马的设计者为了防止木马被发现,而采用多种手段隐藏木马。木马的服务一旦运行并被控制端连接,其控制端将享有服务端的大部分操作权限,例如给计算机增加口令,浏览、移动、复制、删除文件,修改注册表,更改计算机配置等。

问:什么叫网站挂马?

答:“挂马” 就是黑客入侵了一些网站后,将自己编写的网页木马嵌入被黑网站的主页中,当访问者浏览被挂马页面时,将会被植入木马,黑客便可通过远程控制来实现不可告人的目的。网页木马就是将木马和网页结合在一起,打开网页的同时也会运行木马。最初的网页木马原理是利用IE浏览器的ActiveX控件,运行网页木马后会弹出一个控件下载提示,只有点击确认后才会运行其中的木马。这种网页木马在当时网络安全意识普遍不高的情况下还是有一点使用价值的,但是其缺点是显而易见的,就是会出现ActiveX控件下载提示。当然现在很少会有人去点击那莫名其妙的ActiveX控件下载确认窗口。在这种情况下,新的网页木马诞生了。这类网页木马通常利用了IE浏览器的漏洞,在运行的时候没有丝毫提示,因此隐蔽性极高。

问:如何发现网站挂马?

答:服务器被挂马,通常情况下,若出现诸如“弹出页面”,则可以比较容易发现,发现防病毒软件告警之类,则可以发现服务器被挂马;由于漏洞不断更新,挂马种类时刻都在变换,通过客户端的反映来发现服务器是否被挂马往往疏漏较大;正确的做法是经常性的检查服务器日志,发现异常信息;经常检查网站代码,借助于专业的检测工具来发现网页木马会大大提高工作效率和准确度。

问:什么叫XSS?

答:跨站脚本攻击(XSS)是攻击者将恶意脚本提交到网页中,使得原本安全的网页存在恶意脚本,或者是直接添加有恶意脚本的网页并诱使用户打开,用户访问网页后,恶意脚本就会将用户与网站的会话COOKIE及其它会话信息全部截留发送给攻击者,攻击者就可以利用用户的COOKIE正常访问网站。攻击者有时还会将这些恶意脚本以话题的方式提交到论坛中,诱使网站管理员打开这个话题,从而获得管理员权限,控制整个网站。跨站脚本漏洞主要是由于没有对所有用户的输入进行有效的验证所造成的,它影响所有的Web应用程序框架。

问:XSS有哪些危害?

答:XSS攻击的危害包括:

盗取各类用户帐号,如机器登录帐号、用户网银帐号、各类管理员帐号

控制企业数据,包括读取、篡改、添加、删除企业敏感数据的能力

盗窃企业重要的具有商业价值的资料

非法转账

强制发送电子邮件

网站挂马

控制受害者机器向其它网站发起攻击

问:网站被XSS攻击了,该怎么办?

答:XSS攻击可以让黑客获得攻击任意一个访问受害网站页面的用户,虽然不直接危害网站的安全,但一方面影响网站声誉,另一方面如果网站管理者误访问恶意页面,也有权限泄漏的可能。如果确认网站被XSS攻击,首先要将黑客添加的恶意脚本清除,其次需要针对这些存在XSS漏洞的地方进行源码级修改或采用专业的安全硬件产品如入侵防御产品。

问:对于XSS攻击,是否可以通过禁止脚本执行来防御?

答:XSS攻击是由于Web页面代码编写不完善,导致攻击者可以在页面中插入恶意脚本,使得网站的访问者在访问这些页面时遭受攻击。如果在自己的浏览器完全禁用脚本执行,可以起到防范XSS攻击的作用,但与此同时,那些基于脚本的正常应用将无法正常访问。

问:如何防御XSS?

答:要想从根本上解决XSS攻击,就要对Web应用程序源代码进行检查,发现安全漏洞进行修改,但是这种方法在实际中给用户带来了不便,如:需要花费大量的人力财力;可能无法找到当时的网站开发人员,网站下线等,对代码进行修改后,由于增加了过滤条件和功能,同时也给服务器带来了计算压力。通常的解决方法是在Web服务器前部署入侵防御产品。XSS攻击具有变种多、隐蔽性强等特点,传统的特征匹配检测方式不能有效的进行防御,需要采用基于攻击手法的行为监测的入侵防御产品产品才能够精切的检测到XSS攻击。

问:目前对Web服务器威胁较大的XSS攻击工具有哪些?

答:网上常见的XSS攻击工具有sessionIE,Webscan,XSS Inject Scanner 等。

问:什么叫SQL注入?

答:SQL注入就是利用现有应用程序,将恶意的SQL命令注入到后台数据库引擎执行的能力。SQL注入利用的是正常的HTTP服务端口,表面上看来和正常的Web访问没有区别,隐蔽性极强,不易被发现。

问:SQL注入有哪些危害?

答:SQL注入的主要危害包括:

未经授权状况下操作数据库中的数据

恶意篡改网页内容

私自添加系统帐号或者是数据库使用者帐号

网页挂木马

网站安全知识二:

问:网站被SQL注入攻击了,该怎么办?

答:SQL注入可以让黑客获得数据库权限,可以窃取密码,执行修改/增加/删除数据库表等操作。所以,如果网站被SQL注入攻击了,首先要依据日志查看是哪个用户的权限泄漏导致的数据库修改,并更换密码,同时依据日志检查存在注入点的页面,进行代码级的修复或采用专业的安全硬件产品如入侵防御产品。

问:对于SQL注入攻击,是否可以通过禁止SQL语句执行来防御?

答:SQL注入利用的是Web页面的代码过滤不严格,攻击者可以通过提交某些特殊构造的SQL语句插入SQL的特殊字符和字段,来实现对数据库的非正常访问。如果完全禁止SQL语句,当然可以实现对SQL注入的防御,但与此同时,正常的数据库查询语言也将无法执行,除非Web站点是纯静态页面,否则将无法正常访问。采用禁止SQL语句执行来防御SQL注入,纯粹是因噎废食。

问:对于SQL注入攻击,弱点检测和漏洞修补是否可以完全防止?

答:SQL注入攻击是由于代码编写不够严谨导致,没有考虑到代码的健壮性和安全性,由于Web程序漏洞的复杂性,安全分析人员很难通过弱点检测和漏洞修补全面的检查出SQL注入漏洞并进行修补。需要说明的是,Web系统每一次添加了新的页面或应用,就需要再次进行弱点检测和漏洞修补。

问:如何防御SQL注入?

答:要想从根本上解决SQL注入攻击,就要对Web应用程序源代码进行检查,发现安全漏洞进行修改,但是这种方法在实际中给用户带来了不便,如:需要花费大量的人力财力;可能无法找到当时的网站开发人员,网站下线等,对代码进行修改后,由于增加了过滤条件和功能,同时也给服务器带来了计算压力。通常的解决方法是在数据库服务器前部署入侵防御产品。SQL注入攻击具有变种多、隐蔽性强等特点,传统的特征匹配检测方式不能有效的进行防御,需要采用基于攻击手法的行为监测的入侵防御产品才能够精切的检测到SQL注入攻击。

问:目前对Web服务器威胁较大的SQL注入工具有哪些?

答:网上常见的SQL注入工具有啊D SQL注入工具,pangolin,NBSI,HDSI,管中窥豹注入工具等。

问:什么叫Shellcode?

答:Shellcode实际是一段代码(也可以是填充数据),可以用来发送到服务器,利用已存在的特定漏洞造成溢出,通称缓冲区溢出攻击中植入进程的代码。这段代码可以是导致常见的恶作剧目的的弹出一个消息框弹出,也可以用来删改重要文件、窃取数据、上传木马病毒并运行,甚至是出于破坏目的的格式化硬盘等等。

问:什么叫DOS./DDOS攻击?

答:DoS即Denial Of Service,拒绝服务的缩写。DoS是指利用网络协议实现的缺陷来耗尽被攻击对象的资源,目的是让目标计算机或网络无法提供正常的服务或资源访问,使目标系统服务系统停止响应甚至崩溃,而在此攻击中并不包括侵入目标服务器或目标网络设备。这些服务资源包括网络带宽,文件系统空间容量,开放的进程或者允许的连接。这种攻击会导致资源的匮乏,无论计算机的处理速度多快、内存容量多大、网络带宽的速度多快都无法避免这种攻击带来的后果。

DDoS(Distributed Denial Of Service)又把DoS又向前发展了一大步,这种分布式拒绝服务攻击是黑客利用在已经侵入并已控制的不同的高带宽主机(可能是数百,甚至成千上万台)上安装大量的DoS服务程序,它们等待来自中央攻击控制中心的命令,中央攻击控制中心在适时启动全体受控主机的DoS服务进程,让它们对一个特定目标发送尽可能多的网络访问请求,形成一股DoS洪流冲击目标系统,猛烈的DoS攻击同一个网站。被攻击的目标网站会很快失去反应而不能及时处理正常的访问甚至系统瘫痪崩溃。

问:如何应对DOS/DDOS攻击?

答:从目前现有的技术角度来讲,还没有一项解决办法针对DoS非常有效。所以,防止DoS攻击的最佳手段就是防患于未然。也就是说,首先要保证一般的外围主机和服务器的安全,使攻击者无法获得大量的无关主机,从而无法发动有效攻击。一旦单位内部的主机或临近网络的主机被黑客侵入,那么其他的主机被侵入的危险会变得很大。同时,如果网络内部或邻近的主机被用来对本机进行DoS攻击,攻击的效果会更明显。所以,必须保证这些外围主机和网络的安全。尤其是那些拥有高带宽和高性能服务器的网络,往往是黑客的首选目标。保护这些主机最好的办法就是及时了解有关本操作系统的安全漏洞以及相应的安全措施,及时安装补丁程序并注意定期升级系统软件,以免给黑客以可乘之机。另外,网管人员要加强对网络流量的管理,对网络资源的使用情况和带宽分配进行限制或控制,通过流量过滤产品进行限流,同时配合网络审计产品,可以对攻击进行审计和记录,溯源的同时可用于事后取证,必要时向ISP进行举报。

问:什么叫网络蠕虫?

答:一般认为:蠕虫病毒是一种通过网络传播的恶性病毒,它除具有病毒的一些共性外,同时具有自己的一些特征,如不利用文件寄生(有的只存在于内存中),对网络造成拒绝服务,以及与黑客技术相结合等等。蠕虫病毒主要的破坏方式是大量的复制自身,然后在网络中传播,严重的占用有限的网络资源,最终引起整个网络的瘫痪,使用户不能通过网络进行正常的工作。每一次蠕虫病毒的爆发都会给全球经济造成巨大损失,因此它的危害性是十分巨大的;有一些蠕虫病毒还具有更改用户文件、将用户文件自动当附件转发的功能,更是严重的危害到用户的系统安全。


看过“网站安全知识“

35522