Web常见攻击方式
随着信息化建设的不断深入,Web技术的日益成熟,Web应用平台已经在电子政务、电子商务等领域得到广泛的应用,以协同工作环境、社会性网络服务以及托管应用程序为代表的Web技术,将在很大程度上改变人们沟通交流的方式和工作方式。但这些新的技术在给商业活动的发展带来便利的同时,也带来了前所未有的巨大安全风险。
过去,网站的内容大多是静态的。网站管理员对合法网站上的内容进行管理,能够分辨出“可信”站点和“不可信”站点。但如今,Web 内容逐渐趋于动态化,最终用户持续不断的更新现有内容、共享应用程序,并通过多种渠道进行即时通讯。即使采用最佳的策略制定方法,某些不良内容或恶意软件也会随时弹出(甚至在可信站点也是如此),使公司的重要信息和网络暴露于极为危险的环境之下。
根据 Gartner 的调查,信息安全攻击有 75% 都是发生在 Web 应用层而非网络层面上。同时,数据也显示,2/3的Web站点都相当脆弱,易受攻击。可以说,绝大多数企业将大量的投资花费在网络和服务器的安全上,没有从真正意义上保证 Web 业务本身的安全,才给了黑客可乘之机。根据世界知名的Web安全研究组织OWASP提供的报告,目前对Web业务系统威胁最严重的两种攻击方式是注入漏洞和跨站脚本漏洞。
注入漏洞攻击。特别是SQL注入漏洞,主要是利用目标网站程序未对用户输入的字符进行特殊字符过滤或合法性校验,可直接执行数据库语句,导致网站存在安全风险通过验证用户输入使用的是消极或积极的安全策略,有效检测并拦截注入攻击。
跨站脚本漏洞攻击,是指目标网站对用户提交的变量代码未进行有效的过滤或转换,允许攻击者插入恶意Web代码(通常是一些经过构造的javascript语句),劫持用户会话、篡改网页信息甚至引入蠕虫病毒等通过验证用户输入使用的是消极或积极的安全策略,有效检测并拦截跨站点脚本( XSS )攻击。
从以往发生的安全事件来看,Web攻击可导致的后果极为严重,通过上述手段将一个合法正常网站攻陷,利用获取到的相应权限在网页中嵌入恶意代码,将恶意程序下载到存在客户端漏洞的主机上,从而实现攻击目的。如:盗取各类用户账号,如机器登录账号、用户网银账号、各类管理员账号。控制企业数据,包括读取、篡改、添加、删除企业敏感数据的能力。盗窃企业重要的具有商业价值的资料。非法转账。网站挂马。控制受害者机器向其他网站发起攻击……
网友评论