發(fā)布者:售前糖糖 |
本文章發(fā)表于:2022-12-30
閱讀數(shù):2931
絕大多數(shù)企業(yè)將大量的投資花費在網絡和服務器的安全上���,沒有從真正意上保證Web應用本身的安全��,給黑客以可乘之機像��,網絡服務器的攻擊逐漸轉移到了對Web應用���,Web應用程序中常見的漏洞,以下是常見網絡漏洞表現(xiàn)形式和預防方法:
一�、注入漏洞
由于其普遍性和嚴重性,注入漏洞在WebTOP10漏洞中始終排在第一位�。被廣泛用于非法獲取網站控制權,是發(fā)生在應用程序的數(shù)據庫層上的安全漏洞���。用戶可以通過任何輸入點輸入構建的惡意代碼��。如果應用程序沒有嚴格過濾用戶的輸入���,一旦輸入的惡意代碼作為命令或查詢的一部分被發(fā)送到解析器�����,就可能導致注入漏洞�。
一般SQL注入的位置包括:
(1)表單提交���,主要是POST請求���,也包括GET請求;
(2)URL參數(shù)提交,主要為GET請求參數(shù);
(3)Cookie參數(shù)提交;
(4)HTTP請求頭部的一些可修改的值�����,比如Referer���、User_Agent等;
(5)一些邊緣的輸入點,比如.mp3文件的一些文件信息等�。
如何預防?
(1)所有的查詢語句都使用數(shù)據庫提供的參數(shù)化查詢接口��,參數(shù)化的語句使用參數(shù)而不是將用戶輸入變量嵌入到SQL語句中���。當前幾乎所有的數(shù)據庫系統(tǒng)都提供了參數(shù)化SQL語句執(zhí)行接口�,使用此接口可以非常有效的防止SQL注入攻擊。
(2)對進入數(shù)據庫的特殊字符(’”<>&*;等)進行轉義處理��,或編碼轉換��。
(3)確認每種數(shù)據的類型�,比如數(shù)字型的數(shù)據就必須是數(shù)字,數(shù)據庫中的存儲字段必須對應為int型���。
(4)數(shù)據長度應該嚴格規(guī)定�,能在一定程度上防止比較長的SQL注入語句無法正確執(zhí)行��。
(5)網站每個數(shù)據層的編碼統(tǒng)一�,建議全部使用UTF-8編碼,上下層編碼不一致有可能導致一些過濾模型被繞過�。
(6)嚴格限制網站用戶的數(shù)據庫的操作權限,給此用戶提供僅僅能夠滿足其工作的權限��,從而最大限度的減少注入攻擊對數(shù)據庫的危害���。
(7)避免網站顯示SQL錯誤信息���,比如類型錯誤���、字段不匹配等,防止攻擊者利用這些錯誤信息進行一些判斷����。
(8)在網站發(fā)布之前建議使用一些專業(yè)的SQL注入檢測工具進行檢測,及時修補這些SQL注入漏洞�。
二、文件上傳漏洞
文件上傳漏洞是指用戶上傳了一個可執(zhí)行的腳本文件�����,并通過此腳本文件獲得了執(zhí)行服務器端命令的能力����。這種攻擊方式是最為直接和有效的,“文件上傳”本身沒有問題����,有問題的是文件上傳后,服務器怎么處理�����、解釋文件���。如果服務器的處理邏輯做的不夠安全�,則會導致嚴重的后果��。
如何預防�����?
在開發(fā)網站及應用程序過程中�����,需嚴格限制和校驗上傳的文件�,禁止上傳惡意代碼的文件。同時限制相關目錄的執(zhí)行權限�,防范webshell攻擊。
三���、目錄遍歷漏洞
這個漏洞不常見��,但是也是有的����,該漏洞允許瀏覽者直接在瀏覽器里瀏覽和下載網站的文件,導致網站結構��,網站文件����,甚至數(shù)據庫輕易的被黑客搞到。造成此類漏洞的原因是服務器管理員的疏忽����。該漏洞入侵主要是得到數(shù)據庫的地址,用下載工具下載��,并得到管理員賬號�����。防止漏洞的方法就是服務器管理員取消網站目錄遍歷的權限����。
四、文件包含漏洞
文件包含函數(shù)中包含的文件參數(shù)沒有過濾或嚴格定義����,參數(shù)可以由用戶控制,可能包含意外文件�����。如果文件中存在惡意代碼����,無論文件是什么后綴類型,文件中的惡意代碼都會被解析執(zhí)行���,導致文件包含漏洞����。文件中包含的漏洞可能會造成網頁修改�����、網站暫停���、服務器遠程控制���、后門安裝等危害。
五���、跨站腳本漏洞
跨站腳本攻擊(Cross-site scripting��,通常簡稱為XSS)發(fā)生在客戶端�����,可被用于進行竊取隱私���、釣魚欺騙���、竊取密碼、傳播惡意代碼等攻擊��。XSS漏洞是網絡應用程序中常見的安全漏洞����,它允許用戶將惡意代碼植入網頁��。當其他用戶訪問此頁面時�,植入的惡意腳本將在其他用戶的客戶端執(zhí)行。XSS泄漏的危害很多�����,客戶端用戶的信息可以通過XSS漏洞獲取�����,比如用戶登錄的Cookie信息;信息可以通過XSS蝸牛傳播:木馬可以植入客戶端��;您可以結合其他漏洞攻擊服務器���,并在服務器中植入特洛伊木馬���。
如何預防����?
(1)與SQL注入防護的建議一樣���,假定所有輸入都是可疑的�����,必須對所有輸入中的script����、iframe等字樣進行嚴格的檢查���。這里的輸入不僅僅是用戶可以直接交互的輸入接口,也包括HTTP請求中的Cookie中的變量�����,HTTP請求頭部中的變量等��。
(2)不僅要驗證數(shù)據的類型�����,還要驗證其格式��、長度�、范圍和內容��。
(3)不要僅僅在客戶端做數(shù)據的驗證與過濾����,關鍵的過濾步驟在服務端進行�。
(4)對輸出的數(shù)據也要檢查�,數(shù)據庫里的值有可能會在一個大網站的多處都有輸出,即使在輸入做了編碼等操作,在各處的輸出點時也要進行安全檢查。
(5)在發(fā)布應用程序之前測試所有已知的威脅����。
六�����、命定執(zhí)行漏洞
命令執(zhí)行的漏洞。應用程序的某些函數(shù)需要調用可以執(zhí)行系統(tǒng)命令的函數(shù)。如果這些功能或者功能的參數(shù)可以被用戶控制�,那么惡意的命令就有可能通過命令連接器拼接成正常的功能,從而可以隨意執(zhí)行系統(tǒng)命令���。這就是命令執(zhí)行漏洞,這是高風險漏洞之一���。
常見網站漏洞就為大家介紹這么多�����,還有不懂的疑問可以咨詢小編����。對于網站漏洞的檢查和修復每個企業(yè)和政府機構都需要慎重對待����,特別是一些非常依賴網站的企業(yè),例如金融����、銀行等機構,更是不能疏忽大意����,畢竟一旦因為漏洞遭到入侵���,那損失將會非常慘重��。
因此我們需要非常重視網絡安全�,網絡安全是我們企業(yè)發(fā)展不可或缺的一部分��。網絡安全漏洞防御,可以隨時聯(lián)系糖糖QQ:177803620
云安全相關活動
最新活動
閩公網安備 35020302000839號