許多用戶認(rèn)為,通過在網(wǎng)絡(luò)中部署防火墻、入侵檢測系統(tǒng)(IDS)和人工入侵防御系統(tǒng)(IPS),可以提高網(wǎng)絡(luò)的安全性。但是,為什么基于應(yīng)用程序的攻擊仍在發(fā)生呢?究其根本原因是傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備對于應(yīng)用層的攻擊防范作用非常有限。目前,防火墻大多在網(wǎng)絡(luò)層工作,通過網(wǎng)絡(luò)層的數(shù)據(jù)過濾(基于ACL的TCP/IP報(bào)頭)實(shí)現(xiàn)訪問控制功能;通過狀態(tài)防火墻保證內(nèi)部網(wǎng)絡(luò)不被外部網(wǎng)絡(luò)非法接收。所有的處理都是在網(wǎng)絡(luò)層進(jìn)行的,應(yīng)用層攻擊的特點(diǎn)在網(wǎng)絡(luò)層面上是無法檢測到的。IDS和IPS利用深層數(shù)據(jù)包檢測技術(shù)對網(wǎng)絡(luò)數(shù)據(jù)中的應(yīng)用層流量進(jìn)行檢測,并與攻擊特征庫相匹配,從而識別已知的網(wǎng)絡(luò)攻擊,實(shí)現(xiàn)對應(yīng)用層攻擊的保護(hù)。然而,DS和IPS不能有效地抵御未知攻擊和未來攻擊,以及通過靈活編碼和分組分割實(shí)現(xiàn)的應(yīng)用層攻擊。有兩種類型的
Web攻擊:一種是利用Web服務(wù)器漏洞,如CGI緩沖區(qū)溢出、目錄遍歷漏洞攻擊等;二是利用Web頁面的安全漏洞,如SQL注解器、跨站點(diǎn)腳本攻擊等。對Web應(yīng)用程序的常見攻擊有:
堆棧中的惡意指令。
常熟做網(wǎng)站應(yīng)用各種網(wǎng)絡(luò)程序開發(fā)技術(shù)和網(wǎng)頁設(shè)計(jì)技術(shù),為企事業(yè)單位、公司或個人在全球互聯(lián)網(wǎng)上建設(shè)站點(diǎn),并包含域名注冊和主機(jī)托管等服務(wù)的總稱緩沖區(qū)溢出攻擊者使用請求并構(gòu)造超出緩沖區(qū)大小的二進(jìn)制文件,從而允許服務(wù)器執(zhí)行Cookie欺騙,為用戶欺騙精心修改的Cookie數(shù)據(jù)。身份驗(yàn)證使用不安全證書和身份管理逃避攻擊者。
強(qiáng)制訪問未經(jīng)授權(quán)的網(wǎng)頁。非法輸入一個在動態(tài)網(wǎng)頁中輸入,在使用各種非法數(shù)據(jù)的情況下獲取服務(wù)器黑桃感數(shù)據(jù)。
隱藏變量被逐個修改,欺騙服務(wù)器程序拒絕服務(wù)攻擊大量的非法請求,使Web服務(wù)器無法響應(yīng)正常用戶的訪問。
跨站點(diǎn)腳本攻擊提交非法腳本,其他用戶瀏覽竊取用戶帳戶和其他信息。SQL注意到,構(gòu)建SQL代碼是為了允許服務(wù)器執(zhí)行和獲取敏感數(shù)據(jù)。這里有兩種簡單的攻擊方法。SQL注入:
對于與后端數(shù)據(jù)庫交互的網(wǎng)頁,如果沒有對用戶輸入數(shù)據(jù)的合法性進(jìn)行全面判斷,則應(yīng)用程序?qū)⒚媾R安全隱患。用戶可以在提交正常數(shù)據(jù)的URL或表單輸入框中提交特殊構(gòu)造的數(shù)據(jù)庫查詢代碼,從而使后臺應(yīng)用程序能夠根據(jù)程序返回的結(jié)果執(zhí)行攻擊者的SQL代碼。訪問他想知道的敏感數(shù)據(jù),如管理員密碼、機(jī)密商業(yè)信息等。
跨站點(diǎn)腳本攻擊:
因?yàn)榫W(wǎng)頁可以包含由客戶端瀏覽器解釋的服務(wù)器生成的文本和HTML標(biāo)記。
常熟網(wǎng)站制作通俗的來說就是網(wǎng)站通過頁面結(jié)構(gòu)定位,合理布局,圖片文字處理,程序設(shè)計(jì),數(shù)據(jù)庫設(shè)計(jì)等一系列工作的總和,也是將網(wǎng)站設(shè)計(jì)師的圖片用HTML(標(biāo)準(zhǔn)通用標(biāo)記語言下的一個應(yīng)用)方式展示出來。