如何預防網站被攻擊

General 更新 2024年12月22日

  很多新網站是很容易遭受攻擊的,想防禦網站攻擊,當然得先知道他是從哪裡對我們進行攻擊的!下面是小編整理的一些關於的相關資料,供你參考。

  預防網站被攻擊1、未對網站地址的訪問進行限制

  問題:有些網頁的訪問應該是受限於一小部分特權使用者,比如管理員。然而這些網頁通常並不具備真正的保護系統,黑客們可以通過猜測的方式找出這些地址。 Williams說,如果某個網站地址對應的ID號是123456,那麼黑客會猜想123457對應的地址是什麼呢?

  針對這種漏洞的攻擊被稱作強迫瀏覽,通過猜測的方式去猜周圍的連結並找出未經保護的網頁。

  真實案例:Macworld Conference大會網站上有一個漏洞,使用者可以免費獲得價值1700美元的高階訪問許可權和史蒂夫·喬布斯的演講內容。這個漏洞是在客戶端而非伺服器上評定使用者的訪問許可權的,這樣人們就可以通過瀏覽器中的Java指令碼獲得免費許可權。

  如何保護使用者:不要以為使用者們不知道隱藏的地址。所有的網站地址和業務功能都應受到一個有效訪問控制機制的保護,這個機制可以檢驗使用者的身份和許可權。

  預防網站被攻擊2、不安全的通訊

  問題:與第8種漏洞類似,這種漏洞出現的原因是因為在需要對包含敏感資訊的通訊進行保護時沒有將網路流通的資料進行加密。攻擊者們可以獲得包括證書和敏感資訊的傳送在內的各種不受保護的會話內容。因此,PCI標準要求對網路上傳輸的信用卡資訊進行加密。

  真實案例:這次又是一個關於TJX的例子。華爾街日報的報道稱,調查員們認為,黑客利用了一種類似於望遠鏡的天線和膝上型電腦來竊取通過無線方式傳輸的使用者資料。

  有報道稱:“眾多零售商的無線網路安全性還比不上許多人自己的區域網。TJX使用的是WEP加密系統而不是安全性更好的WPA加密系統。

  如何保護使用者:在所有經過認證的連線上利用SSL,或者在敏感資訊傳輸過程中使用SSL。SSL或者類似的加密協議應該載入在客戶端、與線上系統有關的合作伙伴、員工和管理員賬戶上。利用傳輸層安全或者協議級加密系統來保護基礎結構各部分之間的通訊,比如網路伺服器與資料庫系統之間的通訊。

  預防網站被攻擊3、惡意檔案執行

  問題:黑客們可以遠端執行程式碼、遠端安裝rootkits工具或者完全攻破一個系統。任何一款接受來自使用者的檔名或者檔案的網路應用軟體都是存在漏洞的。漏洞可能是用PHP語言寫的,PHP是網路開發過程中應用最普遍的一種指令碼語言。

  真實案例:一位青少年程式設計師在2002年發現了Guess網站是存在漏洞的,攻擊者可以從Guess資料庫中竊取20萬個客戶的資料,包括使用者名稱、信用卡號和有效期等。Guess公司在次年受到聯邦貿易委員會調查之後,同意升級其安全系統。

  如何保護使用者:不要將使用者提供的任何檔案寫入基於伺服器的資源,比如映象和指令碼等。設定防火牆規則,防止外部網站與內部系統之間建立任何新的連線。

  預防網站被攻擊4、不安全的直接物件參照物

  問題:攻擊者可以利用直接物件參照物而越權存取其他物件。當網站地址或者其他引數包含了檔案、目錄、資料庫記錄或者關鍵字等參照物物件時就可能發生這種攻擊。

  銀行網站通常使用使用者的賬號作為主關鍵字,這樣就可能在網路介面中暴露使用者的賬號。

  OWASP說:“資料庫關鍵字的參照物通常會洩密。攻擊者可以通過猜想或者搜尋另一個有效關鍵字的方式攻擊這些引數。通常,它們都是連續的。”

  真實案例:澳大利亞的一個稅務網站在2000年被一位使用者攻破。那位使用者只是在網站地址中更改了稅務ID賬號就獲得了1.7萬家企業的詳細資料。黑客以***的方式通知了那1.7萬家企業,告知它們的資料已經被破解了。

  如何保護使用者:利用索引,通過間接參照對映或者另一種間接法來避免發生直接物件參照物洩密。如果你不能避免使用直接參照,那麼在使用它們之前必須對網站訪問者進行授權。

  預防網站被攻擊5、跨站指令偽造

  問題:這種攻擊簡單但破壞性強,它可以控制受害人的瀏覽器然後傳送惡意指令到網路應用軟體上。這種網站是很容易被攻擊的,部分原因是因為它們是根據會話cookie或者“自動記憶”功能來授權指令的。各銀行就是潛在的被攻擊目標。

  Williams說:“網路上99%的應用軟體都是易被跨站指令偽造漏洞感染的。現實中是否發生過某人因此被攻擊而損失錢財的事呢?也許連各銀行都不知道。對於銀行來說,整個攻擊看起來就像是使用者登入到系統中進行了一次合法的交易。”

  真實案例:一位名叫Samy的黑客在2005年末利用一個蠕蟲在MySpace網站上獲得了100萬個“好友”資料,在成千上萬個MySpace網頁上自動出現了“Samy是我的英雄”的文字。攻擊本身也許是無害的,但是據說這個案例證明了將跨站指令碼與偽造跨站指令結合在一起所具備的威力。另一個案例發生在一年前,Google網站上出現了一個漏洞,外部網站可以利用那個漏洞改變使用者的語言偏好設定。

  如何保護使用者:不要依賴瀏覽器自動提交的憑證或者標識。OWASP說:“解決這個問題的唯一方法是使用一種瀏覽器不會記住的自定義標識。”

  預防網站被攻擊6、資訊洩露和錯誤處理不當

  問題:各種應用軟體產生並顯示給使用者看的錯誤資訊對於黑客們來說也是有用的,那些資訊可能將使用者的隱私資訊、軟體的配置或者其他內部資料洩露出去。

  OWASP說:“各種網路應用軟體經常通過詳細或者調試出錯資訊將內部狀態資訊洩露出去。通常,這些資訊可能會導致使用者系統受到更有力的攻擊。”

  真實案例:資訊洩露是通過錯誤處理不當發生的,ChoicePoint在2005年的崩潰就是這種型別的典型案例。攻擊者假扮是ChoicePoint的合法使用者在公司人員資訊資料庫中尋找某個人的資料,隨後竊取了16.3萬個消費者的記錄資料。ChoicePoint後來對包含敏感資料的資訊產品的銷售進行了限制。

  如何保護使用者:利用測試工具,比如OWASP的WebScarab Project等來檢視應用軟體出現的錯誤資訊。OWASP說:“未通過這種方法進行測試的應用軟體幾乎肯定會出現意外錯誤資訊。”

  另一個方法是:禁止或者限制在錯誤處理中使用詳細資訊,不向使用者顯示除錯資訊。

  預防網站被攻擊7、不安全的認證和會話管理

  問題:如果應用軟體不能自始至終地保護認證證書和會話標識,使用者的管理員賬戶就會被攻破。應注意隱私侵犯和認證系統的基礎原理並進行有效監控。

  OWASP說:“主要驗證機制中經常出現各種漏洞,但是攻擊往往是通過登出、密碼管理、限時登入、自動記憶、祕密問題和賬戶更新等輔助驗證功能展開的。”

  真實案例:微軟公司曾經消除過Hotmail中的一個漏洞,惡意Java指令碼程式設計師曾經在2002年利用這個漏洞竊取了許多使用者密碼。這個漏洞是一家聯網產品轉售商發現的,包含木馬程式的***可以利用這個漏洞更換Hotmail使用者的操作介面,迫使使用者不斷重新輸入他們的密碼,並在使用者不知情的情況下將它們傳送給黑客。

  如何保護使用者:通訊與認證證書儲存應確保安全性。傳輸私人檔案的SSL協議應該是應用軟體認證系統中的唯一選擇,認證證書應以加密的形式進行儲存。

  另一個方法是:除去認證或者會話管理中使用的自定義cookie。

  預防網站被攻擊8、不安全的加密儲存裝置

  問題:雖然加密本身也是大部分網路應用軟體中的一個重要組成部分,但是許多網路開發員沒有對儲存中的敏感資料進行加密。即便是現有的加密技術,其設計也是粗製濫造的。

  OWASP說:“這些漏洞可能會導致使用者敏感資料外洩以及破壞系統的一致性。”.

  真實案例:TJX資料失竊案中,被竊取的信用卡和提款卡賬號達到了4570萬個。加拿大政府調查後認為,TJX未能升級其資料加密系統。

  如何保護使用者:不要開發你自己的加密演算法。最好只使用已經經過審批的公開演算法,比如AES、RSA公鑰加密以及SHA-256或者更好的SHA-256。

  另外,千萬不要在不安全渠道上傳送私人資料。

  OWASP說,現在將信用卡賬號儲存起來是比較常見的做法,但是明年就是《信用卡行業資料安全標準》釋出的最後期限,以後將不再將信用卡賬號儲存起來。

  預防網站被攻擊9、跨站指令碼***XSS***

  問題:XSS漏洞是最普遍和最致命的網路應用軟體安全漏洞,當一款應用軟體將使用者資料傳送到不帶認證或者不對內容進行編碼的網路瀏覽器時容易發生。黑客可以利用瀏覽器中的惡意指令碼獲得使用者的資料,破壞網站,插入有害內容,以及展開釣魚式攻擊和惡意攻擊。

  真實案例:惡意攻擊者去年針對Paypal發起了攻擊,他們將Paypal使用者重新引導到另一個惡意網站並警告使用者,他們的賬戶已經失竊。使用者們被引導到另一個釣魚式網站上,然後輸入自己的Paypal登入資訊、社會保險號和信用卡資料。Paypal公司稱,它在2006年6月修復了那個漏洞。

  如何保護使用者:利用一個白名單來驗證接到的所有資料,來自白名單之外的資料一律攔截。另外,還可以對所有接收到的資料進行編碼。OWASP說:“驗證機制可以檢測攻擊,編碼則可以防止其他惡意攻擊者在瀏覽器上執行的內容中插入其他指令碼。”

  預防網站被攻擊10、注入漏洞

  問題:當用戶提供的資料被作為指令的一部分發送到轉換器***將文字指令轉換成可執行的機器指令***的時候,黑客會欺騙轉換器。攻擊者可以利用注入漏洞創 建、讀取、更新或者刪除應用軟體上的任意資料。在最壞的情況下,攻擊者可以利用這些漏洞完全控制應用軟體和底層系統,甚至繞過系統底層的防火牆。

  真實案例:俄羅斯黑客在2006年1月份攻破了美國羅得島政府網站,竊取了大量信用卡資料。黑客們聲稱SQL注入攻擊竊取了5.3萬個信用卡賬號, 而主機服務供應商則聲稱只被竊取了4113個信用卡賬號。

  如何保護使用者:儘可能不要使用轉換器。OWASP組織說:“如果你必須使用轉換器,那麼,避免遭受注入攻擊的最好方法是使用安全的API,比如引數 化指令和物件關係對映庫。”

 

 

  看過文章“"的人還:

  1.怎麼防網站攻擊

  2.有哪些常見的網路攻擊方式

  3.如何查詢攻擊網站的CC攻擊IP

  4.關於網路技術攻擊的介紹

  5.教你實現電腦的網路安全和如何防止黑客的攻擊

  6.網路攻擊以及防範措施有哪些

  7.如何防禦DDOS遭遇攻擊

  8.關於《網路攻擊原理與技術》的介紹

  9.關於電腦網路被攻擊的解決方法

  10.vps如何防攻擊

為什麼上傳頭像失敗
怎麼清除魔波病毒
相關知識
如何預防網站被攻擊
教你如何預防網頁病毒
打網球時如何預防網球肘
如何預防孩子被性侵
如何預防孩子被拐
如何預防孩子被異物卡住嗓子
如何預防電腦被病毒木馬入侵
如何預防電腦被病毒木馬入侵
請簡述如何預防網球肘
請簡述如何預防網球肘