日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關咨詢
選擇下列產品馬上在線溝通
服務時間:8:30-17:00
你可能遇到了下面的問題
關閉右側工具欄

新聞中心

這里有您想知道的互聯(lián)網營銷解決方案
有效預防SQL注入攻擊的六脈神劍

【.com 綜合報道】據CNNIC中國互聯(lián)網絡信息中心2009年7月16日發(fā)布的《第24次中國互聯(lián)網絡發(fā)展狀況調查統(tǒng)計報告》中顯示,我國共有網民數量3.38億人,網站數量306.1萬個,半年內有1.95億網民在上網過程中遇到過病毒和木馬的攻擊,1.1億網民遇到過賬號或密碼被盜的問題。

讓客戶滿意是我們工作的目標,不斷超越客戶的期望值來自于我們對這個行業(yè)的熱愛。我們立志把好的技術通過有效、簡單的方式提供給客戶,將通過不懈努力成為客戶在信息化領域值得信任、有價值的長期合作伙伴,公司提供的服務項目有:域名注冊、虛擬空間、營銷軟件、網站建設、蒙陰網站維護、網站推廣。

而據多種調查顯示,目前SQL注入攻擊是造成上述嚴重情況的根本原因之一,也是黑客對數據庫進行攻擊的常用手段之一。隨著B/S模式應用開發(fā)的發(fā)展,使用這種模式編寫應用程序的程序員也越來越多。但是由于程序員的水平及經驗也參差不齊,相當大一部分程序員在編寫代碼的時候,沒有對用戶輸入數據的合法性進行判斷,使應用程序存在安全隱患,這也給黑客帶來很多可乘之機。

其實,SQL注入之所以會造成嚴重后果而不被防火墻所發(fā)現(xiàn),是因為這種攻擊方式是從正常的WWW端口訪問,而且表面看起來跟一般的Web頁面訪問沒什么區(qū)別,所以目前市面的防火墻都不會對SQL注入發(fā)出警報,如果管理員沒查看IIS日志的習慣,可能被入侵很長時間都不會發(fā)覺。

而正是因為SQL注入攻擊原理本身非常簡單的原因,才使得相關攻擊工具容易下載,成為近年來攻擊者最有效Web入侵入手段。針對這一攻擊手段,聯(lián)想網御的安全專家傾囊傳授廣大讀者“預防SQL注入攻擊的六脈神劍”:

1、Web應用安全評估:結合應用的開發(fā)周期,通過安全掃描、人工檢查、滲透測試、代碼審計、架構分析等方法,全面的發(fā)現(xiàn)Web應用本身的脆弱性及系統(tǒng)架構導致的安全問題。應用程序的安全問題可能是軟件生命周期的各個階段產生的,其各個階段可能會影響系統(tǒng)安全的要點主要有:

圖:Web應用常見安全要點及其產生階段

而對應用程序本身在評估過程中可以參考OWASP TOP TEN 2007年最新版本,重點檢查以下內容:

序號 內容 說明
1 跨站腳本漏洞 Web應用程序直接將來自使用者的執(zhí)行請求送回瀏覽器執(zhí)行,使得攻擊者可獲取使用者的Cookie或Session信息而直接以使用者身份登陸
2 注入類問題 Web應用程序執(zhí)行在將用戶輸入變?yōu)槊罨虿樵冋Z句的一部分時沒有做過濾,SQL 注入, 命令注入等攻擊包括在內
3 任意文件執(zhí)行 Web應用程序引入來自外部的惡意文件并執(zhí)行
4 不安全的對象直接引用 攻擊者利用Web應用程序本身的文件操作功能讀取系統(tǒng)上任意文件或重要資料
5 跨站請求截斷攻擊 已登入Web應用程序的合法使用者執(zhí)行惡意的HTTP指令,但Web應用程式卻當成合法需求處理,使得惡意指令被正常執(zhí)行
6 信息泄露 Web應用程序的執(zhí)行錯誤信息中包含敏感資料,可能包括系統(tǒng)文件路徑,內部IP地址等
7 用戶驗證和Session管理缺陷 Web應用程序中自行撰寫的身份驗證相關功能有缺陷
8 不安全的加密存儲 Web應用程序沒有對敏感性資料使用加密、使用較弱的加密演算法或將密鑰儲存于容易被獲取之處
9 不安全的通信 Web應用經常在需要傳輸敏感信息時沒有使用加密協(xié)議
10 沒有對URL路徑進行限制 某些網頁因為沒有權限控制,使得攻擊者可透過網址直接存取

2、Web應用安全加固:對應用代碼及其中間件、數據庫、操作系統(tǒng)進行加固,并改善其應用部署的合理性。從補丁、管理接口、帳號權限、文件權限、通訊加密、日志審核等方面對應用支持環(huán)境和應用模塊間部署方式劃分的安全性進行增強。

3、對外部威脅的過濾:通過部署Web防火墻、IPS等設備,監(jiān)控并過濾惡意的外部訪問,并對惡意訪問進行統(tǒng)計記錄,作為安全工作決策及處置的依據。

圖:威脅過濾及記錄分析

4、Web安全狀態(tài)檢測:通過常見掛馬頁面代碼的特征,持續(xù)地檢測被保護應用頁面的當前狀態(tài),判斷頁面是否被攻擊者加入惡意代碼。同時通過檢測Web訪問日志及Web程序的存放目錄,檢測是否存在文件篡改及是否被加入Web Shell一類的網頁后門。

5、事件應急響應:提前做好發(fā)生幾率較大的安全事件的預案及演練工作,力爭以最高效、最合理的方式申報并處置安全事件,并整理總結。

圖:事件應急響應流程

6、安全知識培訓:讓開發(fā)和運維人員了解并掌握相關知識,在系統(tǒng)的建設階段和運維階段同步考慮安全問題,在應用發(fā)布前最大程度的減少脆弱點。
在現(xiàn)在和將來,由于受互聯(lián)網地下黑色產業(yè)鏈中盜取用戶賬號及虛擬財產等行為的利益驅動,攻擊者仍將Web應用作為傳播木馬等惡意程序的主要手段。盡管這會對廣大的運維人員和安全工作者造成很大的工作壓力,但是我們相信通過持續(xù)不斷地執(zhí)行并改進相關安全措施,可以最大限度地保障Web應用的安全,將關鍵系統(tǒng)可能發(fā)生的風險控制在可接受的范圍之內。


當前題目:有效預防SQL注入攻擊的六脈神劍
標題路徑:http://www.5511xx.com/article/dppospo.html