2025信息系统项目管理师视频教程
128149 人在学
在网络时代,很多应用程序的开发都是web应用程序,所以web的安全无论是对于个人还是企业都显得非常重要。为了更好地保护web的安全,我们需要清楚了解web威胁,然后在针对性的对这些威胁进行防护甚至解除。在这里,我们就来了解web安全威胁的基础知识吧。
Web业务平台己经在电子商务、企业信息化中得到广泛应用,很多企业部将应用架设在Web平台上, Web业务的迅速发展也引起了黑客们的强烈关注,他们将注意力从以往对传统网络服务器的攻击逐步转移到了对Web业务的攻击上。黑客利用网站操作系统的漏洞和Web服务程序的SQL注入漏洞等得到Web 服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更为严重的则是在网页中植入恶意代码,使得网站访问者受到侵害。
Web应用的大多数安全问题都属于下面三种类型之一:
◆服务器向公众提供了不应该提供的服务,导致存在安全隐患。
◆服务器把本应私有的数据放到了公开访问的区域,导致敏感信息泄露。
◆服务器信赖了来自不可信赖数据源的数据,导致受到攻击。
许多Web应用程序容易受到通过服务器、应用程序和内部已开发的代码进行的攻击。这些攻击行动直接绕过了周边防火墙安全措施,因为端口80或 443(SSL,安全套接字协议层)必须开放,以便让应用程序正常运行。Web应用安全存在非法输入、失效的访问控制、失效的账户和线程管理、跨站脚本攻击、缓冲区溢出、注射攻击、异常错误处理、不安全的存储、拒绝服务攻击、安全配置错误等问题。Web应用程序攻击包括对应用程序本身的DoS(拒绝服务)攻击、改变网页内容、SQL注入、上传Webshell以及获取对Web服务的控制权限等。
在这里,我们就拿几个类型的Web威胁来进行分析一下。
1.注入
攻击者通过在应用程序预先定义好的查询语句结尾加上额外的查询语句元素,欺骗数据库服务器执行非授权的任意查询。当应用程序视同输入内容来构造动态查询语句以访问数据库时,会发生注入攻击。
注入攻击漏洞,例如SQL,OS以及LDAP注入。这些攻击发生在当不可信的数据作为命令或者查询语句的一部分,被发送给解释器的时候。攻击者发送的恶意数据可以欺骗解释器,以执行计划外的命令或者在未被恰当授权时访问数据。
注入漏洞主要是提交数据库查询请求的攻击,与正常的用户访问没有什么区别,所以能够轻易地绕过防火墙直接访问数据库,甚至获得数据库所在服务器的访问权限。这就导致了任何能够向系统发送不信任数据的人,包括外部用户和管理员,都可能通过注入漏洞对系统进行访问,从而获得想要的数据。
2.跨站脚本攻击(XSS)
用户在浏览网站、玩电脑或者手机游戏、阅读电子邮件、书籍时,都可以看到在页面的边角处等地方会有动态的图片,小的宇祥等连接。攻击者通过在这种链接中插入恶意代码,当用户不小心单击这样带有恶意代码的链接时,其用户信息就有可能被攻击者。攻击者通常对链接进行编码,以避免用户识破恶意代码的伪装,怀疑链接的合法性。阿站在接收到包含恶意代码的请求后,会产生一个包含恶意代码的页面,这个页面看起来和原本的链接应当生成的页面一样。这就是跨站脚本攻击盗取。
在此类攻击中,包含脚本的网站会窃取敏感信息或将访客重定向到恶意网站。InfoWorld的一篇文章就举出了 Wix.com模版易受XSS攻击的新近例子。在这种情况下,攻击者能够够控制所有使用了漏洞模板的网站。WordPress 免费模版和其他开源软件都有类似的弱点。
3.安全配置错误
好的安全需要对应用程序、框架、应用程序服务器、Web 服务器、数据库服务器和平台定义和执行安全配置。由于许多设置的默认值并不是安全的,因此,必须定义、实施和维护这些设置。这包含了对所有的软件保持及时地更新,包括所有应用程序的库文件。考虑外部的匿名攻击者和拥有这几账户的内部用户都可能会试图破坏系统。
Web应用攻击之所以与其他攻击不同,是因为它们很难被发现,而且可能来自任何在线用户,甚至是经过验证的用户。所以为了应对这些威胁,我们需要采取一些应的防护技术来防范,比如下一代防火墙、Web 安全网关和 Web 应用防火墙等。
如果大家还想要学习更多的内容的话,我们课课家教育可以满足您的需求哦,各类的计算机课程等着您来学习。