前言
随着时代的进行,互联网站走进千家万户,网络安全问题也逐渐提上日程,国家对网络安全也欲加重视。
一、重视保护
现如今,大数据已成为必要发展趋势。Web网站也成为人们获取信息和企业开放产品的重要行式。提到网站,就不得不提到Web安全。仍有许多企业不重视,不在乎Web安全,只要求网页的华丽,内容的新颖。千里之堤,溃于蚁穴。往往越是强大的安全系统越是容易败在一句sql指令上。Web网站是一整个安全防护的大门,如果连Web安全都做不好,那这整个安全防护网就是彻彻底底的失败,所做一切努力都是徒劳无功。
二、各类攻击形式
想要知道如何应对Web防护,就要了解各类攻击形式
1.主动攻击
- OS注入攻击
- SQL注入攻击
攻击者通过直接访问Web应用,把攻击代码传入攻击模式。主要攻击服务器上的资源。
这类攻击主要是针对网站开发前期逻辑的错误,通常是一些低级错误,对于开发者来讲比效容易避免,即使出现了错误,借助工具也比效容易发现和修复。
2.被动攻击
- 跨站脚本攻击(XXS)
- HTTP首部注入攻击
- 邮件注入攻击
- 会话固定攻击
- 跨站点请求伪造
利用圈套策略执行代码的攻击模式。在被动攻击过程中,攻击者不直接对目标Web应用访问发起攻击。
(1)攻击者诱导用户触发已设置好的陷阱,而陷阱会启动发送已嵌入攻击代码的HTTP请求。
(2)用户的浏览器出发事先已设定好陷阱的HTTP请求。
(3)用户的浏览器运行攻击代码
(4)执行攻击代码的后果是用户所持的Cookie等被窃取、用户权限遭恶意使用。
当然,此类攻击也包括DDos攻击以及由DDos攻击衍生出来的CC攻击。利用被动攻击,可发起对原本从互联网上无法直接访问的企业内网等网络的攻击。只要用户踏入攻击者预先设好的陷阱,在用户能够访问到的网络范围内,即使是企业内网也同样会受到攻击。
三、万变不离其宗
我想,不管是被动攻击还是主动攻击,都是利用了HTTP协议其不具备必要的安全功能。几乎现今所有的Web网站都会使用会话(session)管理、加密处理等安全性方面的功能,而HTTP协议内并不具备这些功能。既然黑客都是在HTTP上做文章,那就利用好HTTP。想到这我抽时间用JavaScript 写了一个利用HTTP触发事件扫描用户HTTP请求,并建黑白名单来进行溯源。
这样便能找到攻击者,不会再有网站被攻击后还不知道是怎么死的尴尬局面。
25
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
