目前，利用攻擊軟件，攻擊者不需要對網(wǎng)絡協(xié)議有深入的理解，即可完成諸如更換Web網(wǎng)站主頁、盜取管理員密碼、破壞整個網(wǎng)站數(shù)據(jù)等攻擊。而這些攻擊過程中產(chǎn)生的網(wǎng)絡層數(shù)據(jù)，和正常數(shù)據(jù)沒有什么區(qū)別。

很多用戶認為，在網(wǎng)絡中不斷部署防火墻、入侵檢測系統(tǒng)(IDS)、人侵防御系統(tǒng)(IpS)等設備，可以提高網(wǎng)絡的安全性。但是為何基于應用的攻擊事件仍然不斷發(fā)生?其根本的原因在于傳統(tǒng)的網(wǎng)絡安全設備對于應用層的攻擊防范，【網(wǎng)站維護:13518219792】，作用十分有限。目前大多防火墻都是工作在網(wǎng)絡層，通過對網(wǎng)絡層的數(shù)據(jù)過濾(基于TCp/Ip報文頭部的ACL)實現(xiàn)訪問控制的功能；通過狀態(tài)防火墻保證內(nèi)部網(wǎng)絡不會被外部網(wǎng)絡非法接人。所有的處理都是在網(wǎng)絡層，而應用層攻擊的特征在網(wǎng)絡層次上是無法檢測出來的。IDS、IpS通過使用深包檢測的技術檢查網(wǎng)絡數(shù)據(jù)中的應用層流量，與攻擊特征庫進行匹配，從而識別出已知的網(wǎng)絡攻擊，達到對應用層攻擊的防護。但是對于未知攻擊和將來才會出現(xiàn)的攻擊，以及通過靈活編碼和報文分割來實現(xiàn)的應用層攻擊，DS和IpS不能有效防護。

常見的Web攻擊分為兩類:一是利用Web服務器的漏洞進行攻擊，如CGI緩沖區(qū)溢出，目錄遍歷漏洞利用等攻擊；二是利用網(wǎng)頁自身的安全漏洞進行攻擊，如SQL注人，【做網(wǎng)站建設的公司，是怎么收費的?:13518219792】，跨站腳本攻擊等。

常見的針對Web應用的攻擊有:

堆棧中的惡意指令。緩沖區(qū)溢出一攻擊者 利用超出緩沖區(qū)大小的請求和構(gòu)造的二進制代碼讓服務器執(zhí)行謚出Cookie假冒一精心修改Cookie數(shù)據(jù)進行用戶假冒。認證逃避一攻擊者利用 不安全的證書和身份管理。

強制訪問一訪問 未授權的網(wǎng)頁。非法輸人一在動態(tài)網(wǎng)頁的輸人中使用各種非法數(shù)據(jù)， 獲取服務器鍬感數(shù)據(jù)。

隱藏變量幕改一一對網(wǎng)頁中的隱藏變量進行修改，欺騙服務器程序拒絕服務攻擊一構(gòu)造大量的非法請求，使Web服務器不能響應正常用戶的訪問。

跨站腳本攻擊一提交非法腳本， 其他用戶瀏覽時盜取用戶賬號等信息。SQL注人一構(gòu)造 SQL代碼讓服務器執(zhí)行，獲取敏感數(shù)據(jù)。下面列舉簡單的兩個攻擊手段進行說明。SQL注入:

對于和后臺數(shù)據(jù)庫產(chǎn)生交互的網(wǎng)頁，如果沒有對用戶輸人數(shù)據(jù)的合法性進行全面的判斷，就會使應用程序存在安全隱患。用戶可以在提交正常數(shù)據(jù)的URL或者表單輸人框中提交-段精心構(gòu)造的數(shù)據(jù)庫查詢代碼，使后臺應用執(zhí)行攻擊者的SQL代碼，攻擊者根據(jù)程序返回的結(jié)果，獲得某些他想知道的敏感數(shù)據(jù)，如管理員密碼，保密商業(yè)資料等。

跨站腳本攻擊:

由于網(wǎng)頁可以包含由服務器生成的、并且由客戶機瀏覽器解釋的文本和HTML標記。如果不可信的內(nèi)容被引人到動態(tài)頁面中，則無論是網(wǎng)站還是客戶機都沒有足夠的信息識別這種情況并采取保護措施。攻擊者如果知道某一網(wǎng)站 上的應用程序接收跨站點腳 本的提交，他就可以在網(wǎng)上上提交能夠完成攻擊的腳本，如JavaScript. VbScript、 ActiveX、HTML或Flash等內(nèi)容，普通用戶一旦點擊了網(wǎng)頁上這些攻擊者提交的腳本，那么就會在用戶客戶機上執(zhí)行，完成從截獲賬戶、更改用戶設置、竊取和篡改Cookie到虛假廣告在內(nèi)的種種攻擊行為。

隨著攻擊網(wǎng)站制作應用層發(fā)展，傳統(tǒng)網(wǎng)絡安全設備不能有效解決目前的安全威脅，網(wǎng)絡中的應用部署面臨的安全問題必須通過一一種全新設計的安全防火墻-一應用防火墻來解決。應用防火墻通過執(zhí)行應用會話內(nèi)部的請求來處理應用層。應用防火墻專門保護Web應用通信流和所有相關的應用資源免受利用Web協(xié)議發(fā)動的攻擊。應用防火墻可以阻止將應用行為用于惡意目的的瀏覽器和HTTp攻擊。這些攻擊包括利用特殊字符或通配符修改數(shù)據(jù)的數(shù)據(jù)攻擊，設法得到命令串或邏輯語句的邏輯內(nèi)容攻擊，以及以賬戶、文件或主機為主要目標的目標攻擊。

分享題目：成都做網(wǎng)站自助做網(wǎng)站系統(tǒng)主要網(wǎng)站安全問題及其危害
URL鏈接：http://aaarwkj.com/news3/296953.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián)，為您提供服務器托管、靜態(tài)網(wǎng)站、網(wǎng)站營銷、面包屑導航、定制開發(fā)、品牌網(wǎng)站建設

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)