如今，網(wǎng)站不再只是“互聯(lián)網(wǎng)存在”，而是用于商業(yè)交易和傳輸敏感數(shù)據(jù)。如此廣泛的使用有助于破解漏洞和開發(fā)技術(shù)的知識。各種安全研究表明，攻擊網(wǎng)站以獲得名望或金錢的趨勢正在上升。本文海耀搜索引擎優(yōu)化工程師介紹了各種利用它們的網(wǎng)絡(luò)漏洞和攻擊。我們還將學(xué)習(xí)一些可由系統(tǒng)管理員合并以保護(hù)公司W(wǎng)eb基礎(chǔ)結(jié)構(gòu)的技術(shù)。

在討論如何破解Web服務(wù)器之前，讓我們先看看構(gòu)成完整Web門戶的各種組件。首先，Web服務(wù)器是通常在端口80上偵聽的服務(wù)?？蛻舳塑浖ㄍǔＪ菫g覽器）連接到端口并發(fā)送HTTP查詢。 Web服務(wù)通過提供所請求的內(nèi)容（例如HTML，JavaScript等）來響應(yīng)。在某些情況下，可以將服務(wù)配置為在默認(rèn)端口上運(yùn)行，這是向安全性邁出的一小步。 Web服務(wù)器還可以托管FTP或NNTP等服務(wù)，這些服務(wù)在各自的默認(rèn)端口上運(yùn)行。下圖顯示了Web服務(wù)如何映射到OSI層。 HTTP協(xié)議適用于第7層，而HTTPS（安全套接字層）適用于第6層。

　Web服務(wù)和OSI層

現(xiàn)代Web應(yīng)用程序通常不僅僅以簡單網(wǎng)頁的形式提供內(nèi)容。業(yè)務(wù)邏輯和數(shù)據(jù)倉庫組件（如數(shù)據(jù)庫服務(wù)器，應(yīng)用程序服務(wù)器和中間件軟件）也用于為網(wǎng)站用戶生成和提供特定于業(yè)務(wù)的數(shù)據(jù)。這些組件通常在一組單獨(dú)的服務(wù)器上安裝和運(yùn)行，可能共享也可能不共享存儲空間。高級Web應(yīng)用程序代碼可以在內(nèi)部調(diào)用托管在不同服務(wù)器上的Web服務(wù)，并將生成的頁面?zhèn)鬟f給客戶端。 Web程序員還使用cookie來維護(hù)會話并在客戶端瀏覽器中存儲特定于會話的信息。

　　網(wǎng)頁劫持

破解網(wǎng)站非常容易。新手可能會試圖從網(wǎng)站竊取數(shù)據(jù)，專業(yè)人員可能會被網(wǎng)站嚴(yán)重破壞或使用網(wǎng)絡(luò)服務(wù)器傳播病毒。與大多數(shù)其他攻擊不同，Web攻擊使用的技術(shù)范圍從第2層到第7層，因此Web服務(wù)器容易受到各種可能的黑客攻擊。由于防火墻端口必須為Web服務(wù)打開（默認(rèn)情況下為端口80），因此無法阻止第7層攻擊，因此難以檢測Web攻擊。請參閱下圖，其中顯示了用于構(gòu)建Web門戶基礎(chǔ)結(jié)構(gòu)的典型組件。

　Web門戶基礎(chǔ)設(shè)施

從安全角度來看，這些組件中的每一個(gè)都有一些弱點(diǎn)，如果被利用，可能會導(dǎo)致Web內(nèi)容的入侵?，F(xiàn)在讓我們詳細(xì)討論一些常見但危險(xiǎn)的攻擊。

　DoS和嗅探

由于網(wǎng)站的IP地址對Internet開放，因此拒絕服務(wù)攻擊可以輕松阻止Web服務(wù)器。同樣，如果在Web設(shè)計(jì)過程中沒有加密或其他安全措施，則可以輕松地使用數(shù)據(jù)包嗅探器來捕獲純文本用戶ID和密碼。幾乎所有第2層和第3層攻擊（例如數(shù)據(jù)包泛濫，SYN泛洪等）都可能位于網(wǎng)站IP及其所在的端口上。

　HTTP DoS攻擊

與基于網(wǎng)絡(luò)的拒絕服務(wù)攻擊不同，HTTP DoS攻擊在第7層工作。在此類攻擊中，網(wǎng)站以編程方式進(jìn)行爬網(wǎng)以獲取要訪問的頁面列表，在此期間攻擊者還會記錄服務(wù)器所花費(fèi)的時(shí)間。處理每一頁。選擇需要更長處理時(shí)間的頁面，并向Web服務(wù)器發(fā)送多個(gè)HTTP請求，每個(gè)請求都選擇一個(gè)所選頁面。

為了滿足每個(gè)請求，Web服務(wù)器開始消耗資源。達(dá)到資源限制后，您最終放棄并停止響應(yīng)。眾所周知，攻擊者使用一個(gè)簡單的腳本來創(chuàng)建大量的HTTP GET請求來實(shí)現(xiàn)這種攻擊。如果站點(diǎn)僅包含簡單的靜態(tài)HTML頁面，則此攻擊不會非常有效。但是，如果動態(tài)頁面從后端數(shù)據(jù)庫服務(wù)器提取數(shù)據(jù)，則此攻擊可能會造成相當(dāng)大的損害。

雖然它可能會或可能不會導(dǎo)致數(shù)據(jù)被盜，但它肯定會關(guān)閉網(wǎng)站，導(dǎo)致糟糕的用戶體驗(yàn)和破壞聲譽(yù)。必須部署智能技術(shù)來檢測和阻止此類攻擊，我們將很快了解這些攻擊。

訪問控制開發(fā)

通常，在Web門戶的情況下，用戶獲取用于登錄和執(zhí)行某些功能的ID和密碼。門戶網(wǎng)站管理員還提供自己的維護(hù)和數(shù)據(jù)管理憑據(jù)。如果Web服務(wù)和應(yīng)用程序不是從編碼角度設(shè)計(jì)的，則可以使用它們獲得更高的權(quán)限。

例如，如果Web服務(wù)器未使用最新的安全修補(bǔ)程序進(jìn)行修補(bǔ)，則可能導(dǎo)致遠(yuǎn)程執(zhí)行代碼，并且攻擊者可能會編寫腳本來利用此漏洞并訪問服務(wù)器并對其進(jìn)行遠(yuǎn)程控制。在某些情況下，可能會發(fā)生這種情況，因?yàn)槲醋裱罴丫幋a和安全實(shí)踐，從而在安全配置中留下空白并使Web解決方案易受攻擊。

　表單輸入無效

許多網(wǎng)站使用網(wǎng)站用戶填寫的表格并將其提交給服務(wù)器。然后，服務(wù)器驗(yàn)證輸入并將其保存到數(shù)據(jù)庫。驗(yàn)證過程有時(shí)會委托給客戶端瀏覽器或數(shù)據(jù)庫服務(wù)器。如果這些驗(yàn)證不夠強(qiáng)大或者沒有正確編程，它們可能會留下一個(gè)可被攻擊者利用的安全漏洞。

例如，如果諸如PAN號之類的字段是強(qiáng)制性的，并且如果重復(fù)條目的驗(yàn)證未正確完成，則攻擊者可以以編程方式提交具有偽PAN號的表單，從而用虛假條目填充數(shù)據(jù)庫。這最終可以幫助攻擊者通過查詢頁面并請求不存在的條目來開發(fā)拒絕服務(wù)（DoS）攻擊。

　代碼挖掘

雖然這與之前的漏洞有些類似，但它的破壞方式存在一些差異。通常，程序員在為各種用戶輸入設(shè)置限制時(shí)做出假設(shè)。一個(gè)典型的例子是用戶名不應(yīng)超過50個(gè)字符，或者數(shù)值始終為正數(shù)，依此類推。

從安全的角度來看，這些假設(shè)是危險(xiǎn)的，因?yàn)楹诳涂梢允褂盟鼈?。例如，您可以通過填充100個(gè)字符的名稱字段來對數(shù)據(jù)集施加壓力，或者通過在數(shù)字字段中提供負(fù)整數(shù)來創(chuàng)建不正確的計(jì)算。

上面提到的所有攻擊都被新手攻擊者使用，遵循良好的編程習(xí)慣可以幫助他們阻止攻擊。現(xiàn)在讓我們來看看技術(shù)先進(jìn)的攻擊，這些攻擊在今天很常見。

　Cookie中毒

如前所述，cookie是駐留在瀏覽器中的一小段信息（位于客戶端計(jì)算機(jī)的硬盤驅(qū)動器上），用于存儲特定于用戶會話的信息。這是一個(gè)cookie，可以記住我們的購物車內(nèi)容，我們的偏好和以前的登錄信息，以提供豐富的網(wǎng)絡(luò)體驗(yàn)。

雖然篡改cookie并不容易，但專業(yè)攻擊者可以控制它并操縱其內(nèi)容。中毒是通過背景中的木馬或病毒實(shí)現(xiàn)的，并繼續(xù)偽造cookie以收集用戶的個(gè)人信息并將其發(fā)送給攻擊者。

此外，病毒還可以更改cookie的內(nèi)容，從而導(dǎo)致嚴(yán)重的問題，例如提交購物車內(nèi)容，以便將購買的商品交付到黑客可訪問的虛擬地址，或者允許瀏覽器連接到廣告服務(wù)器，它可以幫助攻擊者獲得資金等。如果會話信息存儲在cookie中，專業(yè)攻擊者可以訪問它并竊取會話，導(dǎo)致中間人攻擊。

會話劫持

Web服務(wù)器同時(shí)與多個(gè)瀏覽器通信以接收請求并傳送所請求的內(nèi)容。建立每個(gè)連接后，Web服務(wù)器需要一種方法來維護(hù)每個(gè)連接的唯一性。它使用會話令牌生成動態(tài)生成的文本字符串，包括IP地址，日期，時(shí)間等。

攻擊者可以通過編程方式竊取令牌或在網(wǎng)絡(luò)上嗅探令牌，或者在受害者的計(jì)算機(jī)上執(zhí)行客戶端腳本攻擊。一旦被盜，令牌可用于創(chuàng)建虛假的Web請求并從受害用戶竊取會話和信息。

　　URL查詢字符串篡改

通常使用主URL中的查詢字符串找到從數(shù)據(jù)庫服務(wù)器提取數(shù)據(jù)并將其顯示在網(wǎng)頁上的站點(diǎn)。例如，如果網(wǎng)站URL是//www.seo7.cc /，它可以將field1和field2與//www.seo7.cc/showdata？field1=10& field2=15作為參數(shù)傳遞，并將它們分成數(shù)據(jù)庫。結(jié)果輸出作為網(wǎng)頁提供給瀏覽器。

使此查詢字符串格式易于公開，用戶可以編輯和更改超出預(yù)期限制的字段值，或使用垃圾字符填充字段值。它可以進(jìn)一步引導(dǎo)用戶獲取他們不應(yīng)該獲得的信息。在最壞的情況下，如果字段值是用戶名和密碼，則只能通過HTTP使用暴力字典攻擊來獲取系統(tǒng)級訪問權(quán)限。

　　跨站點(diǎn)腳本

這是Web技術(shù)中最常見的弱點(diǎn)，它可以吸引所有主要站點(diǎn)和著名站點(diǎn)的XSS（跨站點(diǎn)腳本）攻擊。已經(jīng)發(fā)現(xiàn)，即使在今天，大量網(wǎng)站也容易受到此類攻擊。此漏洞是由不適當(dāng)?shù)木幊虒?shí)踐和無法在Web基礎(chǔ)結(jié)構(gòu)中獲得適當(dāng)?shù)陌踩胧┮鸬摹?

我們知道客戶端瀏覽器保持自己的安全性，并且不允許任何人訪問網(wǎng)站內(nèi)容和網(wǎng)站cookie，除了用戶自己。在這種情況下，Web應(yīng)用程序中的漏洞會導(dǎo)致破解者將客戶端代碼注入用戶訪問的頁面。此代碼通常用JavaScript編寫。

要理解這一點(diǎn)，請將用戶名視為輸入頁面并顯示“歡迎用戶名”。屏幕上。我們假設(shè)輸入框被JavaScript替換如下：

在這里，網(wǎng)頁最終可能會執(zhí)行腳本標(biāo)記，顯示對話框消息“您遇到麻煩”。攻擊者可以通過簡單地破解cookie，竊取會話并將代碼注入受害者用戶的瀏覽器來進(jìn)一步利用這一點(diǎn)。完成此操作后，JavaScript代碼將在受害者的瀏覽器中運(yùn)行并盡可能地造成損害。

　　SQL注入

如前所述，Web門戶使用后端的數(shù)據(jù)庫服務(wù)器，Web頁面連接到數(shù)據(jù)庫，查詢數(shù)據(jù)，并以Web格式將獲取的數(shù)據(jù)呈現(xiàn)給瀏覽器。如果客戶端上的輸入在作為查詢發(fā)送到數(shù)據(jù)庫之前未正確過濾，則可能發(fā)生SQL注入攻擊。這可能導(dǎo)致操作SQL語句以便對數(shù)據(jù)庫執(zhí)行無效操作。

這種攻擊的一個(gè)常見示例是由Web應(yīng)用程序訪問的SQL服務(wù)器，其中SQL語句不會被中間件或驗(yàn)證代碼組件過濾。這可能導(dǎo)致攻擊者能夠在后端數(shù)據(jù)庫服務(wù)器上創(chuàng)建和執(zhí)行自己的SQL語句。這可能是一個(gè)簡單的SELECT語句來獲取和竊取數(shù)據(jù)，或者它可能與刪除整個(gè)數(shù)據(jù)表一樣嚴(yán)重。在其他情況下，通過使用惡意和虛假內(nèi)容填充記錄集可能會破壞數(shù)據(jù)。

盡管人們越來越意識到網(wǎng)絡(luò)安全，但許多網(wǎng)站仍然可以執(zhí)行SQL注入攻擊。

雖然在本文中不可能涵蓋所有可能的攻擊，但讓我們來看看一些越來越被用來攻擊網(wǎng)站的不太知名的攻擊。

　　緩慢的HTTP攻擊

盡管此方法類似于拒絕服務(wù)攻擊，但該技術(shù)略有不同。它利用了Web服務(wù)器必須偵聽每個(gè)HTTP請求的事實(shí)。每個(gè)Web請求都以一個(gè)名為content-length的字段開頭，該字段告訴服務(wù)器它需要多少字節(jié)，并以回車符和換行符（CRLF）字符組合結(jié)束。

HTTP請求由具有大內(nèi)容長度的攻擊者發(fā)起，而不是發(fā)送CRLF來結(jié)束請求，因此只需通過向Web服務(wù)器發(fā)送非常少量的數(shù)據(jù)來延遲。這允許Web服務(wù)器等待尚未到達(dá)的更多數(shù)據(jù)來完成請求。這會占用Web服務(wù)器的資源。

如果請求被延遲到小于服務(wù)器上的會話超時(shí)設(shè)置的點(diǎn)，則多個(gè)這樣的慢請求可能完全消耗資源并產(chǎn)生拒絕服務(wù)攻擊。這可以通過從一個(gè)瀏覽器創(chuàng)建緩慢和延遲的請求來完成，從安全角度來看這是危險(xiǎn)的。

　　加密開發(fā)

它導(dǎo)致一切都是安全的錯(cuò)覺，不幸的是，事實(shí)并非如此。許多購物車應(yīng)用程序忘記進(jìn)一步加密cookie內(nèi)容并將其放在純文本中。雖然SSL上的數(shù)據(jù)受SSL保護(hù)，但運(yùn)行客戶端腳本來攔截cookie并讀取其內(nèi)容可能會導(dǎo)致數(shù)據(jù)被盜或會話被盜。

對于SSL，現(xiàn)代攻擊者使用工具來檢測和破壞較弱的加密算法，從而使SSL保護(hù)無效，盡管這并不常見。

　保護(hù)開源軟件系統(tǒng)

Apache運(yùn)行在centods/red Hat，Ubuntu和Debian上，并且在嚴(yán)肅的FOSS Web基礎(chǔ)架構(gòu)和解決方案中受到廣泛歡迎。第一步是加強(qiáng)Apache Web服務(wù)本身;這個(gè)互聯(lián)網(wǎng)上有許多指南和示例 - 每個(gè)Linux發(fā)行版以及示例。

強(qiáng)烈建議禁用Web服務(wù)端口以外的端口，并停止和禁用不必要的服務(wù)。部署配置良好的防火墻或入侵檢測設(shè)備至關(guān)重要。如前所述，簡單的防火墻是不夠的;因此，需要一種能夠檢測網(wǎng)絡(luò)層攻擊的內(nèi)容過濾防火墻。

保護(hù)Web門戶不僅限于Web服務(wù)器，還可以擴(kuò)展到數(shù)據(jù)庫服務(wù)器和Web服務(wù)等組件。從網(wǎng)絡(luò)安全角度來看，最好只允許從前端Web服務(wù)器到數(shù)據(jù)庫的IP連接。運(yùn)行rootkit檢測器，防病毒工具和日志分析器必須是常規(guī)的，以防止黑客。

為了中間件和Web服務(wù)器之間的高級安全性，還應(yīng)該有一個(gè)更強(qiáng)大的身份驗(yàn)證機(jī)制。 Cookie應(yīng)加密，并使用更強(qiáng)大的加密算法部署SSL。

從編碼角度來看，如前所述，安全編程技術(shù)的使用至關(guān)重要，并遵循最佳安全實(shí)踐，如代碼審查和滲透測試。還建議使用其他過程，如輸入代碼驗(yàn)證，服務(wù)器和數(shù)據(jù)庫端驗(yàn)證。

Web開發(fā)是攻擊網(wǎng)站的常用方法。由于易于獲取和可編程性，F(xiàn)OSS基礎(chǔ)設(shè)施也容易受到此類攻擊，因此網(wǎng)絡(luò)管理員必須了解保護(hù)其基礎(chǔ)設(shè)施免受丟失或被盜的技術(shù)。

« 與資本結(jié)婚蘇寧阿里，合作結(jié)盟國美與京東 | 錄制電腦屏幕的軟件哪個(gè)好？一看就知道 »