黑客Web脚本注入攻击深度剖析

浏览:
字体:
发布时间:2017-11-10 10:22:59
来源:东方联盟

   脚本系统是我们最常接触的一种Web应用服务系统。 技术的发展是一个渐变渐进的过程,当下使用B/S模式编写应用程序的技术 正在逐渐推广,但是负责编写程序的程序员水平和经验却参差不齐。绝大多数程 序员在编写代码的时候,由于工作量巨大、代码习惯落后、安全意识低下等原因, 只顾及脚本系统功能的实现,投有进行安全性方面的考量,这就造成现在的各种 脚本系统存在大量的安全隐患,也造成了基于脚本注入方面的攻击越来越多,已 经成为时下网络安全中的主流热点攻击方式。 从脚本系统的构成来说,典型的脚本系统是由脚本编码加上数据库构成,其 中脚本代码按编写和规范可分为ASP、PHP、JsP、ASPX等,而数据库系统常见 的有Microsoft Access、Microsoft SQL Server、MySQL、Oracle等,两者分别在脚 本系统中承担不同的功能和责任:脚本负责前台表现,也就是为访问者提供一个 靓丽、厚重或简便的使用平台,数据库系统在后台提供数据存储,以方便各种数 据的增加、修改、删除等操作。一般情况下,数据库是隐藏在内部的,普通访问 者无法直接访问数据库或者越权访间数据库中的内容。 因为脚本注入是由脚本层面发起的攻击,是以代码的方式存在。

黑客WEB注入漏洞

  对常规的专 职网络安全管理员来讲,基本都没有深厚的脚本开发和脚本代码分析能力,自然 也就对这样的攻击方式无从下手,更无法做到提前检测、修补、防护脚本漏洞。 从高于程序员编写程序的层面来说,在一般的网络安全管理员眼中,因为脚 本注入(也被称为数据库注入、SQL注入等)是从正常的www端口访问,就和 普通用户打开网站一样平凡,而且脚本注入表面看起来跟一般的Web页面访问一 点区别都没有,所以一般的网络安全管理员无法及时发现这样的攻击,更谈不上 修补、堵截这样的漏洞。 当前因特网上的实际情况是,因为脚本攻击的隐蔽性,很多网站、服务器被 恶意黑客入侵后,在长达几个月、甚至几年的时间里,根本不会被艟现。试想, 一个商业站点在长期被黑客控制的情况下何谈隐私?何谈安全?

  据权威机构统计,当下因特网中正常开放的网站,使用ASP+Microsoft Access 或ASP+ Microsoft SQL Server构架的占70%以上,使用PHP+MySQL构架的占 20%左右,其他的构架方式不足10%。从这个实际情况出发,本章的内容主要涉 及前两种典型情况的功防技术寨例,适当提及其他构架方式的相关案例。 本章将先和读者一起,理清脚本注入攻击的核心理念,然后模拟分析各种典 型黑客攻击案例,进而总结、推导出有针对性的防范技术,最后再以实际的防范代码、案例为结尾。希望通过可操作性非常强的各个案例讲解,让读者不但清楚 知道如何防范这样的攻击,更能完全明白基于脚本系统的各种攻击是如何发起进 行的,以达到技术上“知其然且知其所以然一的讨论研究目的。 任何事物产生都有其根源,掌握根源才能充分掌握它们的性状、态势,才能 彻底了解相关习性和常规方式。 注入攻击也是这样,深入了解注入的构成和核心原理,对攻击者来说可以达 到事半功倍的目的t对防御者来说在需要构建防御体系的时候,从根源上堵住缺 陷才是最根本的做法。

更多信息来自东方联盟网:http://www.vm888.com

 
>更多相关文章
24小时热门资讯
24小时回复排行
资讯 | QQ | 安全 | 编程 | 数据库 | 系统 | 网络 | 考试 | 站长 | 下载 | 关于东盟 | 安全雇佣 | 搞笑视频大全 | 微信学院 |
关于我们 | 联系我们 | 广告服务 | 人才招聘 | 服务条款 | 免责申明 | 帮助中心 | 作品发布 | 网站地图 | 技术培训
Copyright © 2007 - 2018 Vm888.Com. All Rights Reserved
东方联盟 版权所有