新闻资讯

首页 > 新闻资讯

如何防止WEB应用服务器被攻击

2013-07-12

    为什么WEB应用程序服务器会成为攻击者的靶子?原因很简单,因为它们是可以被公开访问的,并且与后端的数据库服务器紧密相连,后端数据库服务器存储着海量的令犯罪分子垂涎三尺的信息。那么,攻击者是怎样使用前端有WEB应用程序攻入后端数据库服务器壁垒的呢。下面带你了解对WEB应用服务器的三种攻击:

    跨站点脚本攻击

    跨站点的脚本攻击,也可称为XSS或CSS,是黑客损害那些提供动态网页的WEB应用的一种技术。当今的许多WEB站点都提供动态的页面,这些页面由为用户动态建造的多个源站点的信息组成。如果WEB站点管理员不注意这个问题,恶意内容能够插入到Web页面中,以收集机密信息或简单地用户端系统上执行。

    Blind SQL 注入式攻击

    Blind SQL注入式攻击是发动攻击的另一个方法,但却是另一种略有不同的方法。在执行一次标准的SQL注入式攻击时,攻击者将一个SQL查询插入到一个WEB应用程序中,期望使服务器返回一个错误消息。这种错误消息能够使攻击者获得用于执行更精确的攻击所需要的信息。这会致使数据库管理员相信只要消除这种错误的消息就会解决引起SQL注入式攻击的潜在的问题。管理员可能不会认识到虽然这样会隐藏错误消息,这种脆弱性仍然存在。这样会为攻击者增加点儿困难,却不能阻止攻击者使用错误消息收集信息,攻击者会不断地将伪造的SQL查询发送给服务器,以期获得对数据库的访问。

    SQL 注入式攻击

    SQL注入式攻击如今日益成为互联网上窃取机密信息的受欢迎的途径。一次SQL注入式攻击都包含这样一种方法:攻击者在一个WEB表单的搜索字段中输入一个SQL查询,如果这个查询被WEB应用程序接受,就会被传递到后端的数据库服务器来执行它,当然这要建立在从WEB应用程序到数据库服务器的读/写访问操作被准许的前提下。这可以导致两种情况发生,一是攻击者可以查看数据库的内容,二是攻击者删除数据库的内容。无论哪一种情况发生,对用户来说都意味着灾难。

    很多人可能认为,SQL注入式攻击需要高深的知识。其实恰恰相反,实质上,任何人,只要对SQL有一个基本的理解并拥有一定的查询程序(这种程序在互联网上比比皆是),这种攻击就可以实施。

    对抗手段

    有许多对抗Web应用服务器攻击的对策和措施。对问题的清醒的认识无疑是最重要的。许多企业组织正专注于一些需要执行的预防性的措施,不过却不知晓这些攻击是如何执行的。如果不理解WEB应用服务器攻击是如何工作的,将会使对抗措施不能真正起作用,简单地依靠防火墙和入侵防御系统不能从根本上解决问题。例如,如果你的WEB应用服务器没有对用户输入进行过滤,你就很容易遭受上述类型的攻击。

    领先于攻击者的另一个关键问题是定期对你的WEB应用进行彻底的检查。在技术领域,“亡羊补牢,未为晚也”可能不太适用,因为如果你不及时检查修补你的“墙”,你丢失的将不仅仅是“羊”,很有可能是你的整个“羊圈”甚至更多。

X
 
客户服务电话

130 3883 5218

QQ 即时交谈