越来越多的人能够接触到互联网。这促使许多组织基于开发web用户可以在线使用这些应用程序与组织交互。web应用程序编写的坏代码可以用来获取敏感数据和web未经授权访问服务器。
本文将向您介绍web应用黑客技术,以及你可以采取的措施来防止这种攻击。
什么是web什么是网络威胁?应用程序?
web基于客户机的应用程序(又称网站)--应用程序的服务器模型。服务器提供数据库访问和业务逻辑。它被托管web服务器。客户机应用程序在客户机上。web运行在浏览器上。Web通常使用应用程序Java、c#和VB等语言编写。web应用中使用的数据库引擎包括MySQL、MS SQL Server、PostgreSQL、SQLite等。
大多数web可以通过应用程序部署Internet访问的公共服务器。它们容易受到攻击,因为它们很容易访问。以下是常见的web应用程序的威胁。
- SQL注入——这种威胁的目标可能是绕过登录算法、破坏数据等。
- 拒绝服务攻击——这种威胁的目标可能是拒绝合法用户对资源的访问。
- 跨站点脚本XSS——这种威胁的目标可能是注入可以在客户端浏览器上执行的代码。
- Cookie/Session盗取——这种威胁的目标是修改攻击者Cookie/Session未经授权访问数据。
- 表单篡改——该威胁的目标是修改电子商务应用程序中的价格和其他表单数据,以便攻击者以较低的价格获得商品。
- 代码注入——该威胁的目标是注入可以在服务器上执行的代码,例如PHP、Python等代码可以安装后门,透露敏感信息等。
- 破坏——该威胁的目标是修改网站上显示的页面,并将所有页面请求重新定位到包含攻击者信息的单个页面。
如何保护你的网站免受黑客攻击?
组织可以采取以下策略来保护自己免受web服务器攻击。
- SQL注入——在将用户参数提交到数据库进行处理之前,清理和验证可以帮助减少SQL注入攻击的机会。数据库引擎,如MS SQL Server, MySQL等,支持参数和准备句。它们比传统的要好SQL语句安全得多
- 拒绝服务攻击——若攻击简单DoS,可以用防火墙拦截来自可疑IP地址流量。适当的网络配置和入侵检测系统也有助于减少DoS攻击成功的机会。
- 跨站点脚本XSS——验证和清理headers、通过URL传递的参数、表单参数和隐藏值有助于减少XSS攻击。
- Cookie/Session中毒——这可以通过加密Cookie设定过期时间的内容Cookie用于创建它们的客户端IP防止地址关联。
- 表单篡改——这种情况可以在处理前验证和验证用户输入。
- 代码注入——这可以通过将所有参数视为数据而不是可执行代码来防止。这可以通过消毒和验证来实现。
- 破坏——一个好的web应用程序开发的安全策略应确保其密封访问web常见的服务器漏洞。这可以是操作系统,web适当配置服务器软件,开发web最佳安全实践应用程序。