网站被攻击的原因分析.docVIP

网站被攻击的原因分析 网站被攻击的原因分析 经常听网站管理人员说网站被攻击, 很多人都是痛恨攻击者, 其实应当找出被攻击的原因, 才能少些麻烦. IT顾问Joel Snyder说：“他们完全忽略了安全问题。当你去找你的网站设计师时，你要找的实际上是那些可以建立有趣网站的具有创新意识的人。有趣是第一位的，可能排在第九位的应考虑因素才是网站必须是一个安全的网站。” 当企业用户们听说了太多的关于个人数据被窃的故事之后，网络安全已成为企业用户们考虑的头等大事，但是网络开发商却忽视了安全漏洞给用户带来的危险。 Forrester公司高级分析师Khalid Kark说，安全通常是网站建好之后才会考虑到的事，一般人很少在建站之前考虑它。最大的问题是设计师们不会在网络应用软件之间建立保护机制来分割和验证系统各部分之间移动的数据。大部分网站都是可被攻破的。问题的症结在于设计师们在建站的时候没有考虑过安全问题。 这是个大问题，也是非赢利性组织Open Web Application Security Project(OWASP )试图解决的问题之一。OWASP组织在今年发布了一篇名为《十大最关键的网络应用软件安全漏洞》的报告，提高了网络开发员们对安全问题的严重性的认识。 本文归纳了OWASP组织提出的前十大网络漏洞，包括对每个问题的描述、真实案例以及如何修复它们。 1、注入漏洞 问题：当用户提供的数据被作为指令的一部分发送到转换器（将文本指令转换成可执行的机器指令）的时候，黑客会欺骗转换器。攻击者可以利用注入漏洞创 建、读取、更新或者删除应用软件上的任意数据。在最坏的情况下，攻击者可以利用这些漏洞完全控制应用软件和底层系统，甚至绕过系统底层的防火墙。 真实案例：俄罗斯黑客在2006年1月份攻破了美国罗得岛政府网站，窃取了大量信用卡资料。黑客们声称SQL注入攻击窃取了5.3万个信用卡账号， 而主机服务供应商则声称只被窃取了4113个信用卡账号。 如何保护用户：尽可能不要使用转换器。OWASP组织说：“如果你必须使用转换器，那么，避免遭受注入攻击的最好方法是使用安全的API，比如参数 化指令和对象关系映射库。” 2、跨站脚本（XSS） 问题：XSS漏洞是最普遍和最致命的网络应用软件安全漏洞，当一款应用软件将用户数据发送到不带认证或者不对内容进行编码的网络浏览器时容易发生。黑客可以利用浏览器中的恶意脚本获得用户的数据，破坏网站，插入有害内容，以及展开钓鱼式攻击和恶意攻击。 真实案例：恶意攻击者去年针对Paypal发起了攻击，他们将Paypal用户重新引导到另一个恶意网站并警告用户，他们的账户已经失窃。用户们被引导到另一个钓鱼式网站上，然后输入自己的Paypal登录信息、社会保险号和信用卡资料。Paypal公司称，它在2006年6月修复了那个漏洞。 如何保护用户：利用一个白名单来验证接到的所有数据，来自白名单之外的数据一律拦截。另外，还可以对所有接收到的数据进行编码。OWASP说：“验证机制可以检测攻击，编码则可以防止其他恶意攻击者在浏览器上运行的内容中插入其他脚本。” 3、恶意文件执行 问题：黑客们可以远程执行代码、远程安装rootkits工具或者完全攻破一个系统。任何一款接受来自用户的文件名或者文件的网络应用软件都是存在漏洞的。漏洞可能是用PHP语言写的，PHP是网络开发过程中应用最普遍的一种脚本语言。 真实案例：一位青少年程序员在2002年发现了G网站是存在漏洞的，攻击者可以从Guess数据库中窃取20万个客户的资料，包括用户名、信用卡号和有效期等。Guess公司在次年受到联邦贸易委员会调查之后，同意升级其安全系统。 如何保护用户：不要将用户提供的任何文件写入基于服务器的资源，比如镜像和脚本等。设定防火墙规则，防止外部网站与内部系统之间建立任何新的连接。 4、不安全的直接对象参照物 问题：攻击者可以利用直接对象参照物而越权存取其他对象。当网站地址或者其他参数包含了文件、目录、数据库记录或者关键字等参照物对象时就可能发生这种攻击。 银行网站通常使用用户的账号作为主关键字，这样就可能在网络接口中暴露用户的账号。 OWASP说：“数据库关键字的参照物通常会泄密。攻击者可以通过猜想或者有哪些信誉好的足球投注网站另一个有效关键字的方式攻击这些参数。通常，它们都是连续的。” 真实案例：澳大利亚的一个税务网站在2000年被一位用户攻破。那位用户只是在网站地址中更改了税务ID账号就获得了1.7万家企业的详细资料。黑客以电子邮件的方式通知了那1.7万家企业，告知它们的数据已经被破解了。 如何保护用户：利用索引，通过间接参照映射或者另一种间接法来避免发生直接对象参照物泄密。如果你不能避免使用直接参照，那么在使用它们之前必须对网站访问者进行授权