【正文】 瀏覽新聞、游戲娛樂、在線購物甚至網(wǎng)上炒股，網(wǎng)站給人們帶來的 太多的 便利。這就要求我們應(yīng)該更加重視網(wǎng)站安全問題。而網(wǎng)站被攻擊后 造成的巨大損失， 也 已 經(jīng) 成為網(wǎng)站所有者 和訪問者 不能承受之痛 。 攻擊一個(gè)網(wǎng)站后，掛上網(wǎng)頁木馬（可導(dǎo)致瀏覽該網(wǎng)站者中毒而使自己的計(jì)算機(jī)成為入侵者的肉雞）；這類是為其他類攻擊原因作準(zhǔn)備，據(jù)從互聯(lián)安全網(wǎng)社區(qū)獲得的案例，有黑客竟然通過這類行為掌握了數(shù)萬臺(tái)的肉雞。 網(wǎng)絡(luò)安全實(shí)訓(xùn) 4 三． 網(wǎng)站存在的漏洞危害及解決辦法 注入 注入 定義 所謂 SQL 注入式攻擊，就是攻擊者把 SQL 命令插入到 Web 表 單的輸入域或頁面請(qǐng)求的查詢字符串，欺騙服務(wù)器執(zhí)行惡意的 SQL 命令。 對(duì)于后臺(tái)數(shù)據(jù)庫來說，以 SQL 注入攻擊危害最為普遍，由于網(wǎng)站服務(wù)端語言自身的缺陷與程序員編寫代碼的安全意識(shí)不足， 攻擊者可以將惡意 SQL 語句注入到正常的數(shù)據(jù)庫操作指令中去，從而使該惡意 SQL 語句在后臺(tái)數(shù)據(jù)庫中被解析執(zhí)行。 3． Cookie 參數(shù)提交。 上面列舉的幾類輸入點(diǎn)，只要任何一點(diǎn)存在過濾不嚴(yán)，過濾缺陷等問題， 都有可能發(fā)生 SQL 注入攻擊。 網(wǎng)頁篡改：通過操作數(shù)據(jù)庫對(duì)特定網(wǎng)頁進(jìn)行篡改。經(jīng)由數(shù)據(jù)庫服務(wù)器提供的操作系統(tǒng)支持，讓黑客得以修改或控制操作系統(tǒng) 。 經(jīng)常使用的方案有： 1． 所有的查詢語句都使用數(shù)據(jù)庫提供的參數(shù)化查詢接口，參數(shù)化的語句使用參數(shù)而不是將用戶輸入變量嵌入到 SQL 語句中。*。 5． 網(wǎng)站每個(gè)數(shù)據(jù)層的編碼統(tǒng)一，建議全部使用 UTF8 編碼，上下層編碼不一致有可能導(dǎo)致一些過濾模型被繞過。 . 跨站腳本攻擊 定義 跨站腳本攻擊（ Crosssite scripting，通常簡稱為 XSS）發(fā)生在客戶端，惡意的攻擊者將對(duì)客戶端有危害的代碼放到服務(wù)器上作為一個(gè)網(wǎng)頁內(nèi)容， 使得其他網(wǎng)站用戶在觀看此網(wǎng)頁時(shí)，這些代碼注入到了用戶的瀏覽器中執(zhí)行，使用戶受到攻擊。 攻擊者通過網(wǎng)站的輸入點(diǎn)嵌入非法的 HTML標(biāo)簽與 JavaScript腳本并執(zhí)行以達(dá)到在客戶端攻擊的目的。 XSS 的危害包括： 1． 釣魚欺騙：最典型的就是利用目標(biāo)網(wǎng)站的反射型跨站腳本漏洞將目標(biāo)網(wǎng)站重定向到釣魚網(wǎng)站，或者注入釣魚 JavaScript 以監(jiān)控目標(biāo)網(wǎng)站的表單輸入，甚至發(fā)起基于 DHTML 更高級(jí)的釣魚攻擊方式。 4． 盜取網(wǎng)站用戶信息：當(dāng)能夠竊取到用戶 Cookie 從而獲取到用戶身份使，攻擊者可以獲取到用戶對(duì)網(wǎng)站的操作權(quán)限，從而查看用戶隱私信息。 . XSS 解決方案 常用的防止 XSS 技術(shù)包括： 與 SQL 注入防護(hù)的建議一樣，假定所有輸入都是可疑的，必須對(duì)所有輸入中的 script、I frame 等字樣進(jìn)行嚴(yán)格的檢查。 對(duì)輸出的數(shù)據(jù)也要檢查，數(shù)據(jù)庫里的值有可能會(huì)在一個(gè)大網(wǎng)站的多處都有輸出，即使在輸入做了編碼等操作， 在各處的輸出點(diǎn)時(shí)也要進(jìn)行安全檢查。 2． 文件掛馬：攻擊者直接將掛馬代碼批量寫入服務(wù)端文件里以達(dá)到整站掛馬的目的。這類掛馬比較隱蔽，也是掛馬常用的技巧。 如果用戶訪問被掛網(wǎng)站時(shí)，用戶計(jì)算機(jī)就有可能被植入病毒，這些病毒會(huì)偷盜各類賬號(hào)密碼，如網(wǎng)銀賬戶、游戲賬號(hào)、郵箱賬號(hào)、 及 MSN 賬號(hào)等。 2) 文件掛馬：使用工具或者命令遍歷網(wǎng)站所有文本文件，批量清除掛馬代碼。 及時(shí)檢測并修補(bǔ)網(wǎng)站本身以及網(wǎng)站所在服務(wù)端環(huán)境的各類漏洞，從而在根源上降低消除網(wǎng)站被掛馬的風(fēng)險(xiǎn) 。 1． 網(wǎng)站結(jié)構(gòu)分析 通過對(duì)網(wǎng)站進(jìn)行智能搜索掃描，從結(jié)構(gòu)上剖析了整個(gè)網(wǎng)站的組織結(jié)構(gòu)，可以更加直 觀的看到整個(gè)網(wǎng)站的實(shí)施。這些目錄很有可能就是網(wǎng)站管理員后臺(tái)程序所在目錄或者是數(shù)據(jù)庫所在目錄。 3． 隱藏文件探測 通過隱藏文件的智能探測，除了已有的所有公開頁面以外，智能搜索并探測在這些目錄下是否存在隱藏文件。 解決方案建議 及時(shí)地刪除重要文件，或者是修改重要文件的名稱 4． 備份文件探測 通過備份文件的智能探測，除了已有的所有公開頁面以外，智能搜索并探測在這些目錄下是否存在備份文件。 解決方案建議 及時(shí)刪除備份文件。 6． 用戶名和密碼猜解 通常，網(wǎng)站是不提供內(nèi)部用戶注冊(cè)的，但是由于內(nèi)部用戶的粗心大意留下了簡單密碼的帳戶，導(dǎo)致外部人員可以使用內(nèi)部功能。 7． 跨站腳本漏洞挖掘 跨站腳本攻擊漏洞通常出現(xiàn)在用戶和應(yīng)用程序進(jìn)行信息交互的接口處，這種漏洞使用戶訪問應(yīng)用程序的時(shí)候執(zhí)行惡意代碼，可以直接導(dǎo)致用戶數(shù)據(jù)的泄漏，最終不但有損網(wǎng)站的信譽(yù)度，同時(shí)還威脅到服務(wù)器的安全性。如果其中包含管理員的帳號(hào)信息，其危害也就不言而喻了。 9． 漏洞掃描 通過漏洞掃描可以發(fā)現(xiàn)服務(wù)器各種重要信息，也有可能直接發(fā)現(xiàn)系統(tǒng)重要的系統(tǒng)安全漏洞，或者發(fā)現(xiàn)操作系統(tǒng)及數(shù)據(jù)庫等應(yīng)用的弱口令 漏洞。 10． 遠(yuǎn)程溢出 遠(yuǎn)程溢出測試基于漏洞掃描的結(jié)果，掃描發(fā)現(xiàn)的系統(tǒng)漏洞有可能是誤報(bào)。 11． 本地權(quán)限提升 攻擊者通過攻擊網(wǎng)站等應(yīng)用程序后會(huì)獲得一定的系統(tǒng)權(quán)限，在獲得權(quán)限后他們就會(huì)利用系統(tǒng)本地溢出漏洞，系統(tǒng)缺陷，配置不當(dāng)?shù)嚷┒催M(jìn)行權(quán)限提升，達(dá)到完全控制服務(wù)器的目的。 可能的安全危害 服務(wù)器被入侵 解決方案建議 使用強(qiáng)壯而沒有規(guī)則的帳號(hào)和密碼。 網(wǎng)絡(luò)安全實(shí)訓(xùn) 14 3． 針對(duì)網(wǎng)站安全問題，建立及時(shí)響應(yīng)機(jī)制 面對(duì) Web 應(yīng)用程序 漏洞和已經(jīng)造成的危害，我們?nèi)狈謴?fù)的機(jī)制和足夠的技術(shù)儲(chǔ)備，因此，需要 確立專業(yè)支持團(tuán)隊(duì)的外援保障，解決及時(shí)響應(yīng)問題 ， 在網(wǎng)站 安全問題被 驗(yàn)證后，能確保對(duì) 網(wǎng)站進(jìn)行木馬清除以及針對(duì) web 漏洞的 安全代碼審核修補(bǔ) 等工作。這些問題使得組織仍持續(xù)遭受網(wǎng)站攻擊事件的困擾。 ，主動(dòng)進(jìn)行滲透檢測，最好考慮聯(lián)系專業(yè)的第 三方安全服務(wù)機(jī)構(gòu)進(jìn)行獨(dú)立和專業(yè)的滲透檢測，避免內(nèi)部力量的不足和非獨(dú)