隨著互聯(lián)網的發(fā)展,越來越多的人們開始認識到網絡宣傳的優(yōu)越性���。大大小小的網站層出不窮����。然而隨著網站數(shù)量的增加,出現(xiàn)的問題也大大增多����。同行之間的競爭、也隨之體現(xiàn)在了網絡之間�。一些不法分子也逐漸轉移陣地到網絡上來謀取利益。同行之間往往雇傭黑客打壓對手攻擊對方網站���,甚至有些人故意攻擊別人網站索要保護費����。不給錢就攻擊你����,讓你網站癱瘓����。對于這類事情�,網站主往往是求助無門干著急,不得已妥協(xié)�。下面沈陽網站建設跟大家一起探討這塊!
1���、注入漏洞問題:當用戶提供的數(shù)據(jù)被作為指令的一部分發(fā)送到轉換器(將文本指令轉換成可執(zhí)行的機器指令)的時候�,黑客會欺騙轉換器����。攻擊者可以利用注入漏洞創(chuàng) 建、讀取�、更新或者刪除應用軟件上的任意數(shù)據(jù)。在最壞的情況下���,攻擊者可以利用這些漏洞完全控制應用軟件和底層系統(tǒng),甚至繞過系統(tǒng)底層的防火墻����。
2、跨站腳本(XSS)問題:XSS漏洞是最普遍和最致命的網絡應用軟件安全漏洞�,當一款應用軟件將用戶數(shù)據(jù)發(fā)送到不帶認證或者不對內容進行編碼的網絡瀏覽器時容易發(fā)生。黑客可以利用瀏覽器中的惡意腳本獲得用戶的數(shù)據(jù)���,破壞網站�,插入有害內容,以及展開釣魚式攻擊和惡意攻擊�。
3、惡意文件執(zhí)行問題:黑客們可以遠程執(zhí)行代碼�、遠程安裝rootkits工具或者完全攻破一個系統(tǒng)。任何一款接受來自用戶的文件名或者文件的網絡應用軟件都是存在漏洞的����。漏洞可能是用PHP語言寫的,PHP是網絡開發(fā)過程中應用最普遍的一種腳本語言���。
4���、不安全的直接對象參照物問題:攻擊者可以利用直接對象參照物而越權存取其他對象。當網站地址或者其他參數(shù)包含了文件�、目錄、數(shù)據(jù)庫記錄或者關鍵字等參照物對象時就可能發(fā)生這種攻擊�。
5、跨站指令偽造問題:這種攻擊簡單但破壞性強�,它可以控制受害人的瀏覽器然后發(fā)送惡意指令到網絡應用軟件上。這種網站是很容易被攻擊的����,部分原因是因為它們是根據(jù)會話cookie或者“自動記憶”功能來授權指令的。各銀行就是潛在的被攻擊目標�。
6����、信息泄露和錯誤處理不當問題:各種應用軟件產生并顯示給用戶看的錯誤信息對于黑客們來說也是有用的���,那些信息可能將用戶的隱私信息����、軟件的配置或者其他內部資料泄露出去����。
7、不安全的認證和會話管理問題:如果應用軟件不能自始至終地保護認證證書和會話標識����,用戶的管理員賬戶就會被攻破。應注意隱私侵犯和認證系統(tǒng)的基礎原理并進行有效監(jiān)控���。
8�、不安全的加密存儲設備問題:雖然加密本身也是大部分網絡應用軟件中的一個重要組成部分����,但是許多網絡開發(fā)員沒有對存儲中的敏感數(shù)據(jù)進行加密�。即便是現(xiàn)有的加密技術���,其設計也是粗制濫造的。
9�、不安全的通信問題:與第8種漏洞類似,這種漏洞出現(xiàn)的原因是因為在需要對包含敏感信息的通信進行保護時沒有將網絡流通的數(shù)據(jù)進行加密���。攻擊者們可以獲得包括證書和敏感信息的傳送在內的各種不受保護的會話內容�。因此�,PCI標準要求對網絡上傳輸?shù)男庞每ㄐ畔⑦M行加密。
10���、未對網站地址的訪問進行限制問題:有些網頁的訪問應該是受限于一小部分特權用戶����,比如管理員�。然而這些網頁通常并不具備真正的保護系統(tǒng),黑客們可以通過猜測的方式找出這些地址���。
