3種漏洞攻擊及防范利器介紹

國內(nèi)外黑客組織或者個人為牟取利益竊取和篡改網(wǎng)絡(luò)信息， 已成為不爭的事實， 在不斷給單位和個人造成經(jīng)濟(jì)損失的同時， 我們也應(yīng)該注意到這些威脅大多是基于Web網(wǎng)站發(fā)起的攻擊， 在給我們造成不可挽回的損失前， 我們有必要給大家介紹幾種常見的網(wǎng)站漏洞， 以及這些漏洞的防范方法， 目的是幫助廣大網(wǎng)站管理者理清安全防范思緒， 找到當(dāng)前的防范重點， 最大程度地避免或減少威脅帶來的損失。

1、SQL語句漏洞

也就是SQL注入， 就是通過把SQL命令插入到Web表單遞交或輸入域名或頁面請求的查詢字符串， 最終達(dá)到欺騙服務(wù)器執(zhí)行惡意的SQL命令， 比如先前的很多影視網(wǎng)站泄露VIP會員密碼大多就是通過WEB表單遞交查詢字符暴出的， 這類表單特別容易受到SQL注入式攻擊。

有效防范手段：對于SQL注入問題的一般處理方法是賬戶最小權(quán)限原則。 以下幾種方法推薦使用：

對用戶輸入信息進(jìn)行必要檢查

對一些特殊字符進(jìn)行轉(zhuǎn)換或者過濾

使用強(qiáng)數(shù)據(jù)類型

限制用戶輸入的長度

需要注意：這些檢查要放在server運行， client提交的任何東西都是不可信的。 使用存儲過程， 如果一定要使用SQL語句， 那么請用標(biāo)準(zhǔn)的方式組建SQL語句。 比如可以利用parameters對象， 避免用字符串直接拼SQL命令。 相關(guān)工具下載：www.arpun.com 當(dāng)SQL運行出錯時， 不要把數(shù)據(jù)庫返回的錯誤信息全部顯示給用戶， 錯誤信息經(jīng)常會透露一些數(shù)據(jù)庫設(shè)計的細(xì)節(jié)。

2、網(wǎng)站掛馬

掛馬就是在別人電腦里面(或是網(wǎng)站服務(wù)器)里植入木馬程序， 以盜取一些信息或者控制被掛馬的電腦做一些不法的勾當(dāng)（如攻擊網(wǎng)站， 傳播病毒， 刪除資料等）。 網(wǎng)頁掛馬就是在網(wǎng)頁的源代碼中加入一些代碼， 利用漏洞實現(xiàn)自動下載木馬到機(jī)器里。 網(wǎng)站掛馬的形式可分為框架掛馬、數(shù)據(jù)庫掛馬、后臺掛馬、服務(wù)器掛馬以及其他形式的掛馬方式。

有效防范手段：要防止網(wǎng)站被掛馬， 可以采取禁止寫入和目錄禁止執(zhí)行的功能， 這兩項功能相組合， 就可以有效地防止ASP木馬。 此外， 網(wǎng)站管理員通過FTP上傳某些數(shù)據(jù)， 維護(hù)網(wǎng)頁時， 盡量不安裝asp的上傳程序。 這對于常被ASP木馬影響的網(wǎng)站來說， 會有一些幫助。 當(dāng)然是用專業(yè)的查殺木馬工具也是不錯的防護(hù)措施。

需要注意：管理員權(quán)限的用戶名和密碼要有一定復(fù)雜性， 并只允許信任的人使用上傳程序。

3、XSS跨站攻擊

XSS又叫CSS (Cross Site Script) ， 屬于被動式的攻擊， 跨站腳本攻擊。 它指的是惡意攻擊者往Web頁面里插入惡意html代碼（攻擊者有時也會在網(wǎng)頁中加入一些以.JS或.VBS為后尾名的代碼）， 當(dāng)用戶瀏覽該頁之時， 嵌入其中Web里面的html代碼會被執(zhí)行， 從而達(dá)到惡意用戶的特殊目的。

有效防范手段：對于XSS跨站攻擊的防范分為對網(wǎng)站和對個人分別來講。

對于網(wǎng)站， 堅決不要相信任何用戶輸入并過濾所有特殊字符， 這樣可以消滅絕大部分的XSS攻擊。

對于個人， 保護(hù)自己的最好方法就是僅點擊你想訪問的那個網(wǎng)站上的鏈接。 有時候XSS會在你打開電子郵件、打開附件、閱讀留言板、閱讀論壇時自動進(jìn)行， 當(dāng)你打開電子郵件或是在公共論壇上閱讀你不認(rèn)識的人的帖子時一定要注意。 最好的解決辦法就是關(guān)閉瀏覽器的 Javascript 功能。 在IE中可以將安全級別設(shè)置為最高， 可以防cookie被盜。

實際上， 上面三種網(wǎng)站攻擊是目前較為流行和常見的， 而防范手段對于專業(yè)的網(wǎng)站管理者來說， 只是經(jīng)驗之談， 但我們非常清楚的知道， 網(wǎng)站漏洞層出不窮， 能否及時防御、修復(fù)， 是網(wǎng)站能否安全運行的決定因素。 單靠技術(shù)人員的手動修復(fù)是不可能做到面面俱到的， 需要對網(wǎng)站漏洞敏感程度較高的軟件來有效的保障網(wǎng)站的安全。 筆者作為一名51CTO安全頻道的客座專家也深知這一點， 在這里向廣大網(wǎng)站管理和運維人員推薦一款性價比較高的軟件：UnisWebScanner。

這款網(wǎng)站安全掃描器是目前市場上使用比較廣泛的， 而且是Web安全性價比不錯的一款安全產(chǎn)品， 相比國外的Web安全掃描產(chǎn)品來說， UnisWebScanner速度快， 可以緊密跟蹤國內(nèi)最新網(wǎng)頁木馬， 達(dá)到快速響應(yīng)和及時更新能力；筆者之所以推薦給廣大51CTO的廣大用戶， 更為重要的一些原因是， UnisWebScanner的掃描結(jié)果非常準(zhǔn)確， 而且不含惡意軟件和廣告軟件， 相信這一點對于很多網(wǎng)站管理者來說， 都是至關(guān)重要的。

該軟件主要是針對Web安全性進(jìn)行弱點評估的智能檢測系統(tǒng)， 整合了當(dāng)前各類流行Web攻擊手段， 如網(wǎng)頁掛馬攻擊、SQL注入漏洞、跨站腳本攻擊等， 是多年研究積累的經(jīng)驗之作。 UnisWebScanner適用于通過internet、intranet、extranet進(jìn)行網(wǎng)上交易或信息發(fā)布的大、中、小企業(yè)， 如金融、證券、政府、電子商務(wù)、電信運營商、基金、網(wǎng)游、科研院所等各類企事業(yè)單位。