黑客Web脚本注入攻击深度剖析
脚本系统是我们最常接触的一种Web应用服务系统。 技术的发展是一个渐变渐进的过程,当下使用B/S模式编写应用程序的技术 正在逐渐推广,但是负责编写程序的程序员水平和经验却参差不齐。绝大多数程 序员在编写代码的时候,由于工作量巨大、代码习惯落后、安全意识低下等原因, 只顾及脚本系统功能的实现,投有进行安全性方面的考量,这就造成现在的各种 脚本系统存在大量的安全隐患,也造成了基于脚本注入方面的攻击越来越多,已 经成为时下网络安全中的主流热点攻击方式。 从脚本系统的构成来说,典型的脚本系统是由脚本编码加上数据库构成,其 中脚本代码按编写和规范可分为ASP、PHP、JsP、ASPX等,而数据库系统常见 的有Microsoft Access、Microsoft SQL Server、MySQL、Oracle等,两者分别在脚 本系统中承担不同的功能和责任:脚本负责前台表现,也就是为访问者提供一个 靓丽、厚重或简便的使用平台,数据库系统在后台提供数据存储,以方便各种数 据的增加、修改、删除等操作。一般情况下,数据库是隐藏在内部的,普通访问 者无法直接访问数据库或者越权访间数据库中的内容。 因为脚本注入是由脚本层面发起的攻击,是以代码的方式存在。
对常规的专 职网络安全管理员来讲,基本都没有深厚的脚本开发和脚本代码分析能力,自然 也就对这样的攻击方式无从下手,更无法做到提前检测、修补、防护脚本漏洞。 从高于程序员编写程序的层面来说,在一般的网络安全管理员眼中,因为脚 本注入(也被称为数据库注入、SQL注入等)是从正常的www端口访问,就和 普通用户打开网站一样平凡,而且脚本注入表面看起来跟一般的Web页面访问一 点区别都没有,所以一般的网络安全管理员无法及时发现这样的攻击,更谈不上 修补、堵截这样的漏洞。 当前因特网上的实际情况是,因为脚本攻击的隐蔽性,很多网站、服务器被 恶意黑客入侵后,在长达几个月、甚至几年的时间里,根本不会被艟现。试想, 一个商业站点在长期被黑客控制的情况下何谈隐私?何谈安全?
据权威机构统计,当下因特网中正常开放的网站,使用ASP+Microsoft Access 或ASP+ Microsoft SQL Server构架的占70%以上,使用PHP+MySQL构架的占 20%左右,其他的构架方式不足10%。从这个实际情况出发,本章的内容主要涉 及前两种典型情况的功防技术寨例,适当提及其他构架方式的相关案例。 本章将先和读者一起,理清脚本注入攻击的核心理念,然后模拟分析各种典 型黑客攻击案例,进而总结、推导出有针对性的防范技术,最后再以实际的防范代码、案例为结尾。希望通过可操作性非常强的各个案例讲解,让读者不但清楚 知道如何防范这样的攻击,更能完全明白基于脚本系统的各种攻击是如何发起进 行的,以达到技术上“知其然且知其所以然一的讨论研究目的。 任何事物产生都有其根源,掌握根源才能充分掌握它们的性状、态势,才能 彻底了解相关习性和常规方式。 注入攻击也是这样,深入了解注入的构成和核心原理,对攻击者来说可以达 到事半功倍的目的t对防御者来说在需要构建防御体系的时候,从根源上堵住缺 陷才是最根本的做法。
更多信息来自东方联盟网:http://www.vm888.com
- 11-15不看后悔!程序员防御XSS的无奈
- 11-10揭秘Web黑客3种注入点判断方法
- 11-10黑客Web脚本注入攻击深度剖析
- 10-21全球无线网络面临黑客攻击风险 WiFi曝安全漏洞
- 02-24iPhone再爆安全漏洞 黑客1分钟可盗照片及加密信息
- 02-22互联网金融风险 警示网站漏洞或成“致命点”
- 01-11全球最受赞誉公司揭晓:苹果连续九年第一
- 12-09罗伯特·莫里斯:让黑客真正变黑
- 12-09谁闯入了中国网络?揭秘美国绝密黑客小组TA
- 12-09警示:iOS6 惊现“闪退”BUG
- 12-05亚马逊推出新一代基础模型 任意模态生成大模
- 12-05OpenAI拓展欧洲业务 将在苏黎世设立办公室
- 12-05微软质疑美国联邦贸易委员会泄露信息 督促其
- 12-05联交所取消宝宝树上市地位 宝宝树:不会对公
- 12-04企业微信致歉:文档打开异常已完成修复