隨著互聯(lián)網(wǎng)的發(fā)展,越來(lái)越多的人們開(kāi)始認(rèn)識(shí)到網(wǎng)絡(luò)宣傳的優(yōu)越性。大大小小的網(wǎng)站層出不窮。然而隨著網(wǎng)站數(shù)量的增加,出現(xiàn)的問(wèn)題也大大增多。同行之間的競(jìng)爭(zhēng)、也隨之體現(xiàn)在了網(wǎng)絡(luò)之間。一些不法分子也逐漸轉(zhuǎn)移陣地到網(wǎng)絡(luò)上來(lái)謀取利益。同行之間往往雇傭黑客打壓對(duì)手攻擊對(duì)方網(wǎng)站,甚至有些人故意攻擊別人網(wǎng)站索要保護(hù)費(fèi)。不給錢(qián)就攻擊你,讓你網(wǎng)站癱瘓。對(duì)于這類(lèi)事情,網(wǎng)站主往往是求助無(wú)門(mén)干著急,不得已妥協(xié)。下面,沈陽(yáng)網(wǎng)站建設(shè)根據(jù)多年的互聯(lián)網(wǎng)資深從業(yè)經(jīng)驗(yàn),跟大家一起探討為什么我們網(wǎng)站老是被攻擊?
1、注入漏洞問(wèn)題:當(dāng)用戶(hù)提供的數(shù)據(jù)被作為指令的一部分發(fā)送到轉(zhuǎn)換器(將文本指令轉(zhuǎn)換成可執(zhí)行的機(jī)器指令)的時(shí)候,黑客會(huì)欺騙轉(zhuǎn)換器。攻擊者可以利用注入漏洞創(chuàng) 建、讀取、更新或者刪除應(yīng)用軟件上的任意數(shù)據(jù)。在最壞的情況下,攻擊者可以利用這些漏洞完全控制應(yīng)用軟件和底層系統(tǒng),甚至繞過(guò)系統(tǒng)底層的防火墻。
2、跨站腳本(XSS)問(wèn)題:XSS漏洞是最普遍和最致命的網(wǎng)絡(luò)應(yīng)用軟件安全漏洞,當(dāng)一款應(yīng)用軟件將用戶(hù)數(shù)據(jù)發(fā)送到不帶認(rèn)證或者不對(duì)內(nèi)容進(jìn)行編碼的網(wǎng)絡(luò)瀏覽器時(shí)容易發(fā)生。黑客可以利用瀏覽器中的惡意腳本獲得用戶(hù)的數(shù)據(jù),破壞網(wǎng)站,插入有害內(nèi)容,以及展開(kāi)釣魚(yú)式攻擊和惡意攻擊。
3、惡意文件執(zhí)行問(wèn)題:黑客們可以遠(yuǎn)程執(zhí)行代碼、遠(yuǎn)程安裝rootkits工具或者完全攻破一個(gè)系統(tǒng)。任何一款接受來(lái)自用戶(hù)的文件名或者文件的網(wǎng)絡(luò)應(yīng)用軟件都是存在漏洞的。漏洞可能是用PHP語(yǔ)言寫(xiě)的,PHP是網(wǎng)絡(luò)開(kāi)發(fā)過(guò)程中應(yīng)用最普遍的一種腳本語(yǔ)言。
4、不安全的直接對(duì)象參照物問(wèn)題:攻擊者可以利用直接對(duì)象參照物而越權(quán)存取其他對(duì)象。當(dāng)網(wǎng)站地址或者其他參數(shù)包含了文件、目錄、數(shù)據(jù)庫(kù)記錄或者關(guān)鍵字等參照物對(duì)象時(shí)就可能發(fā)生這種攻擊。
5、跨站指令偽造問(wèn)題:這種攻擊簡(jiǎn)單但破壞性強(qiáng),它可以控制受害人的瀏覽器然后發(fā)送惡意指令到網(wǎng)絡(luò)應(yīng)用軟件上。這種網(wǎng)站是很容易被攻擊的,部分原因是因?yàn)樗鼈兪歉鶕?jù)會(huì)話(huà)cookie或者“自動(dòng)記憶”功能來(lái)授權(quán)指令的。各銀行就是潛在的被攻擊目標(biāo)。
6、信息泄露和錯(cuò)誤處理不當(dāng)問(wèn)題:各種應(yīng)用軟件產(chǎn)生并顯示給用戶(hù)看的錯(cuò)誤信息對(duì)于黑客們來(lái)說(shuō)也是有用的,那些信息可能將用戶(hù)的隱私信息、軟件的配置或者其他內(nèi)部資料泄露出去。
7、不安全的認(rèn)證和會(huì)話(huà)管理問(wèn)題:如果應(yīng)用軟件不能自始至終地保護(hù)認(rèn)證證書(shū)和會(huì)話(huà)標(biāo)識(shí),用戶(hù)的管理員賬戶(hù)就會(huì)被攻破。應(yīng)注意隱私侵犯和認(rèn)證系統(tǒng)的基礎(chǔ)原理并進(jìn)行有效監(jiān)控。
8、不安全的加密存儲(chǔ)設(shè)備問(wèn)題:雖然加密本身也是大部分網(wǎng)絡(luò)應(yīng)用軟件中的一個(gè)重要組成部分,但是許多網(wǎng)絡(luò)開(kāi)發(fā)員沒(méi)有對(duì)存儲(chǔ)中的敏感數(shù)據(jù)進(jìn)行加密。即便是現(xiàn)有的加密技術(shù),其設(shè)計(jì)也是粗制濫造的。
9、不安全的通信問(wèn)題:與第8種漏洞類(lèi)似,這種漏洞出現(xiàn)的原因是因?yàn)樵谛枰獙?duì)包含敏感信息的通信進(jìn)行保護(hù)時(shí)沒(méi)有將網(wǎng)絡(luò)流通的數(shù)據(jù)進(jìn)行加密。攻擊者們可以獲得包括證書(shū)和敏感信息的傳送在內(nèi)的各種不受保護(hù)的會(huì)話(huà)內(nèi)容。因此,PCI標(biāo)準(zhǔn)要求對(duì)網(wǎng)絡(luò)上傳輸?shù)男庞每ㄐ畔⑦M(jìn)行加密。
10、未對(duì)網(wǎng)站地址的訪(fǎng)問(wèn)進(jìn)行限制問(wèn)題:有些網(wǎng)頁(yè)的訪(fǎng)問(wèn)應(yīng)該是受限于一小部分特權(quán)用戶(hù),比如管理員。然而這些網(wǎng)頁(yè)通常并不具備真正的保護(hù)系統(tǒng),黑客們可以通過(guò)猜測(cè)的方式找出這些地址。