很多网友想了解网站为什么容易被攻击的相关知识,为了大家进一步的对网站为什么经常被攻击所有了解,就跟小编一起来看看吧!
网站为什么容易被攻击?每一个站长都不希望自己的网站被攻击, 防患于未然,找出被攻击的原因, 减少些麻烦.才是最关键的,分析研究预防网站被攻击的有段也是非赢利性组织Open Web Application Security Project(OWASP )试图解决的问题之一 。本文归纳了OWASP组织提出的前十大网络漏洞,包括对每个问题的描述、真实案例以及如何修复网站漏洞 。
1、注入漏洞
问题:当用户提供的数据被作为指令的一部分发送到转换器(将文本指令转换成可执行的机器指令)的时候,黑客会欺骗转换器 。攻击者可以利用注入漏洞创 建、读取、更新或者删除应用软件上的任意数据 。在最坏的情况下,攻击者可以利用这些漏洞完全控制应用软件和底层系统,甚至绕过系统底层的防火墙 。
真实案例:俄罗斯黑客在2006年1月份攻破了美国罗得岛政府网站,窃取了大量信用卡资料 。黑客们声称SQL注入攻击窃取了5.3万个信用卡账号, 而主机服务供应商则声称只被窃取了4113个信用卡账号 。
如何保护用户:尽可能不要使用转换器 。OWASP组织说:“如果你必须使用转换器,那么,避免遭受注入攻击的最好方法是使用安全的API,比如参数 化指令和对象关系映射库 。”
2、跨站脚本(XSS)
问题:XSS漏洞是最普遍和最致命的网络应用软件安全漏洞,当一款应用软件将用户数据发送到不带认证或者不对内容进行编码的网络浏览器时容易发生 。黑客可以利用浏览器中的恶意脚本获得用户的数据,破坏网站,插入有害内容,以及展开钓鱼式攻击和恶意攻击 。
真实案例:恶意攻击者去年针对Paypal发起了攻击,他们将Paypal用户重新引导到另一个恶意网站并警告用户,他们的账户已经失窃 。用户们被引导到另一个钓鱼式网站上,然后输入自己的Paypal登录信息、社会保险号和信用卡资料 。Paypal公司称,它在2006年6月修复了那个漏洞 。
如何保护用户:利用一个白名单来验证接到的所有数据,来自白名单之外的数据一律拦截 。另外,还可以对所有接收到的数据进行编码 。OWASP说:“验证机制可以检测攻击,编码则可以防止其他恶意攻击者在浏览器上运行的内容中插入其他脚本 。”
3、恶意文件执行
问题:黑客们可以远程执行代码、远程安装rootkits工具或者完全攻破一个系统 。任何一款接受来自用户的文件名或者文件的网络应用软件都是存在漏洞的 。漏洞可能是用PHP语言写的,PHP是网络开发过程中应用最普遍的一种脚本语言 。
真实案例:一位青少年程序员在2002年发现了Guess.com网站是存在漏洞的,攻击者可以从Guess数据库中窃取20万个客户的资料,包括用户名、信用卡号和有效期等 。Guess公司在次年受到联邦贸易委员会调查之后,同意升级其安全系统 。
如何保护用户:不要将用户提供的任何文件写入基于服务器的资源,比如镜像和脚本等 。设定防火墙规则,防止外部网站与内部系统之间建立任何新的连接 。
4、不安全的直接对象参照物
问题:攻击者可以利用直接对象参照物而越权存取其他对象 。当网站地址或者其他参数包含了文件、目录、数据库记录或者关键字等参照物对象时就可能发生这种攻击 。
银行网站通常使用用户的账号作为主关键字,这样就可能在网络接口中暴露用户的账号 。
OWASP说:“数据库关键字的参照物通常会泄密 。攻击者可以通过猜想或者搜索另一个有效关键字的方式攻击这些参数 。通常,它们都是连续的 。”
推荐阅读
- 道德经教人如何做人
- 2020年1月25日为什么日
- 宝宝巴士亲子游戏—烹饪美食,经营餐厅,获得丰厚报酬,快来看看
- 汽车换季保养项目
- 祖国多么广大为什么描写大兴安岭
- 用车经验之油箱门打开的几种方式
- 为什么说天秤座沉默很恐怖 沉默的天秤座最可怕
- 怎么在电子税务局网站验旧发票
- 为什么台湾和大陆是一家
- 银杏树为什么可以活那么长时间