三种漏洞攻击及防范利器介绍pc软件 文章资讯 手机软件

您当前的位置→图文中心安全防范三种漏洞攻击及防范利器介绍

三种漏洞攻击及防范利器介绍


2009/9/26  编辑:佚名 来源:本站整理

我们国家内外黑客组织或者个人为牟取利益窃取和篡改网络net信息, 已成为不争的事实, 就在会一直不断给单位和个人造成经济损失的同一个时间, 我们我自己也应该提醒一定要注意到这些威胁大多是基于Web网站发起的攻击, 在给我们造成不可挽回的损失前, 我们有必要给大家介绍说明几种常见的网站漏洞, 以及这些漏洞的防范方法, 目的是协助广大网站管理者理清安全防范思绪, 去寻找到当前的防范重点, 最大程度地避免或减少威胁带来的损失。

1、SQL语句漏洞

也就是SQL注入, 就是可以通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串, 最后达到欺骗服务器执行恶意的SQL命令, 比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的, 这类表单特别容易受到SQL注入式攻击。

有效防范手段:对于SQL注入问题的一般处理方法是账户最小权限原则。 以下几种方法推荐使用:

对用户输入信息来进行必要检查
对一些特殊字符进行转换或者过滤
使用强数据信息类型
限制用户输入的长度

有请求需要注意:这些检查要放在server运行, client提交的任意一个东西都是不可信的。 使用存储过程, 如果一定要使用SQL语句, 那么请用标准的方式组建SQL语句。 比如可以能够利用parameters对象, 避免用字符串直接拼SQL命令。 相关必备工具下载:www.arpun.com 当SQL运行出错时, 一定不要把数据库返回的错误信息全部显示给用户, 错误信息经常会透露一些数据库设计design的细节。

2、网站挂马

挂马就是在别人电脑里面(或是网站服务器)里植入木马程序, 以盗取一些信息或者控制被挂马的电脑做一些不法的勾当(如攻击网站, 传播病毒, 删除资料等)。 网页挂马就是在网页的源代码中加入一些代码, 利用漏洞实现全自动下载木马到机器里。 网站挂马的形式可分为框架挂马、数据库挂马、后台挂马、服务器挂马以及其他形式的挂马方式。

有效防范手段:要防止网站被挂马, 可以采取禁止写入和目录禁止执行的功能, 这两项功能相组合, 就可以有效地防止ASP木马。 此外, 网站管理员通过FTP上传某些数据, 维护网页时, 尽量不安装asp的上传程序。 这对于常被ASP木马反应影响的网站来说, 会有一些帮助。 当然是用专业的查杀木马工具也是很好的防护措施。

需要注意:管理员权限的用户名和密码要有一定复杂性, 并只允许信任的人使用上传程序。

3、XSS跨站攻击

XSS又叫CSS (Cross Site Script) , 属于被动式的攻击, 跨站脚本攻击。 它指的是恶意攻击者往Web页面里插入恶意html代码(攻击者有时也会在网页中加入一些以.JS或.VBS为后尾名的代码), 当用户浏览该页之时, 嵌入其中Web里面的html代码会被执行, 从而达到恶意用户的特殊目的。

有效防范手段:对于XSS跨站攻击的防范分为对网站和对个人分别来讲。
对于网站, 坚决不要相信任何用户输入并过滤所有特殊字符, 这样可以消灭绝大部分的XSS攻击。
对于个人, 保护自己的最好方法就是只用鼠标点击您想访问的那个网站上的链接。 有时候XSS会在你打开电子邮件、打开附件、阅读留言板、阅读论坛时自动进行, 当你打开电子邮件或是在公共论坛上阅读你不认识的人的帖子时一定要注意。 最好的解决处理办法就是关闭浏览器的 Javascript 功能。 在IE中可以将安全级别布置设置为最高, 可以防cookie被盗。

实际上, 上面三种网站攻击是就在目前较为流行和常见的, 而防范手段对于专业的网站管理者来说, 只是经验之谈, 但我们非常清楚的知道, 网站漏洞层出不穷, 能否及时防御、修复, 是网站能否安全运行的决定因素。 单靠技术人员的手动修复是不有可能做到面面俱到的, 需要对网站漏洞敏感程度较高的软件来有效的保障网站的安全。 笔者作为一名51CTO安全频道的客座专家也深知这一点, 在这里向广大网站管理和运维人员推荐一款性价比较高的软件:UnisWebScanner。

这款网站安全扫描器是目前市场上使用比较广泛的, 而且是Web安全性价比不错的一款安全产品, 相比国外的Web安全扫描产品来说, UnisWebScanner速度快, 可以紧密跟踪国内当前最新网页木马, 达到快速响应和及时更新能力;笔者之所以推荐给广大51CTO的广大用户, 更为重要的一些原因是, UnisWebScanner的扫描结果非常准确, 而且不含恶意软件和广告软件, 相信这一点对于很多网站管理者来说, 都是至关重要的。

该软件主要是针对Web安全性进行弱点评估的智能检测系统system, 整合了当前各类流行Web攻击手段, 如网页挂马攻击、SQL注入漏洞、跨站脚本攻击等, 是多年研究积累的经验之作。 UnisWebScanner适用于通过internet、intranet、extranet进行网上交易或信息发布出来的大、中、小企业, 如金融、证券、政府、电子商务、电信运营商、基金、网游、科研院所等各类企事业单位。

相关文章
  • 揭秘中小企业赚钱的秘诀,不赚这三种钱?
  • 王者荣耀:三种匹配机制的详细说明,你弄明白没有?
  • EDIUS打不开jpg的三种解决方法
  • 科学家表示这三种疾病目前无药医,最有可能变成全球性流行病!
  • 苹果手机屏蔽骚扰短信的三种方法
  • 三种辨别iphone6s真伪的详细方式
  • 三种删除launchpad软件的方法
  • iPhone微信小视频保存到本地的三种方法
  • 机甲通过升级会获得哪三种技能?
  • 病毒造成电脑蓝屏的三种攻击方式
  • 发表评论
    阅读排行
    相关热门
    网站帮助 - 广告合作 - 下载声明 - 网站地图