• <progress id="juow7"><track id="juow7"></track></progress>

    <ol id="juow7"><code id="juow7"></code></ol>

    <tbody id="juow7"><noscript id="juow7"></noscript></tbody>
      <th id="juow7"></th><em id="juow7"></em>
      <th id="juow7"></th><em id="juow7"></em>
      1. 信息化管理辦公室
         
        設為首頁  |  加入收藏
         

         首頁 | 中心概況 | 規章制度 | 校園網絡 | 網絡服務 | 學校首頁 

          當前位置:文章正文  

        關于web安全

        2017年12月13日 15:12  點擊:[]

        簡述:web(World Wide Web)即全球廣域網,也稱為萬維網,它是一種基于超文本和HTTP的、全球性的、動態交互的、跨平臺的分布式圖形信息系統。是建立在Internet上的一種網絡服務,為瀏覽者在Internet上查找和瀏覽信息提供了圖形化的、易于訪問的直觀界面,其中的文檔及超級鏈接將Internet上的信息節點組織成一個互為關聯的網狀結構。

        進入信息化時代以來,網絡日益發展,web也逐漸發展。正如電影“whoami”中所說:沒有絕對安全的系統,雖然web的出現極大的方便了各行業人員,但是也出現了各種各樣的安全問題。在波濤洶涌的網絡世界里,web安全問題是其中最大的幾多浪花之一。

        Web及web安全發展史

        Web發展史:

        從1989年CERN(歐中舍利子物理研究所)中某個小組提交一個針對internet的新協議和一個使用該寫的文檔。從此建立web的雛形。在1991年,該系統移植到其他計算機平臺,web正式發布。在web1.0時代,大多數人關注的是服務器動態腳本的安全問題。動態腳本語言的普及,以及web技術發展初期對安全問題認知的不足導致很多“血案”發生。也遺留了很多問題。比如:PHP語言只能靠較好的代碼規范來保證沒有文件包含漏洞,但是無法從語言本身杜絕此類安全問題的發生。

        2004年提出web2.0的概念,Web 2.0可以說是信息技術發展引發網絡革命所帶來的面向未來、以人為本的創新2.0模式在互聯網領域的典型體現,是由專業人員織網到所有用戶參與織網的創新民主化進程的生動注釋。但是對于web安全漏洞依舊猖獗。

        在土豆先生提出的關于web3.0的闡述中這樣講道:要求互聯網價值的重新分配將是一種必然的趨勢,必然催生新一代互聯網的產生。Web3.0使所有的網上公民不再受到現有資源積累的限制具有更加平等的獲得財富和生育的機會。當然現如今而言,web3.0還未完全到來,we3.0的到來必須滿足三個前提:(1)、博客技術為代表、圍繞網民互動及個性體驗的互聯網應用技術的完善和發展(2)虛擬貨幣的普及和普遍。(3)大家對網絡財富的認同,以及網絡財務安全的解決方案。

        Web1.0、web2.0、web3.0的優缺點:

        web1.0的本質是聯合,那么web2.0的本質就是互動,它讓網民更多地參與信息產品的創造、傳播和分享,而這個過程是有價值的。web2.0的缺點是沒有體現出網民勞動的價值,所以2.0很脆弱,缺乏商業價值。web2.0是脆弱的,純粹的2.0 會在商業模式上遭遇重大挑戰,需要跟具體的產業結合起來才會獲得巨大的商業價值和商業成功。web3.0是在web2.0的基礎上發展起來的能夠更好地體現網民的勞動價值,并且能夠實現價值均衡分配的一種互聯網方式。

        Web安全問題

        從web1.0發布發展至今,發生過不計其數的web安全事件,有震驚世界的google用戶數據庫泄露事件,也有鮮為人知的入侵事件。

        隨著web2.0、社交網絡等等一系列新型的互聯網產品的誕生,基于web環境的互聯網越來越廣泛,企業信息化的過程中應用都假設在web平臺上,web業務的迅速發展也引起了黑客們的強烈關注,從而引發更多的web安全問題。Web安全問題主要分為三種類型:SQL注入攻擊,XSS(跨站腳本)攻擊,網頁掛馬攻擊。

        1998年,rfp在《phrack》雜志第54期首次提出SQL注入攻擊。

        XSS攻擊自提出以來,一直是web安全威脅中,所觸發的頻率中最多的,在2007年OWSAP統計的所有網絡安全中跨站腳本(XSS)攻擊占22%,高居所有web威脅之首。

        網頁掛馬是web安全中對訪問網頁的用戶威脅最大的攻擊之一。

        2017年發布的《2017全球安全報告》顯示,幾乎每個web應用程序之沙鷗存在1個漏洞,并且Trustwave通過掃描發現:99.7%的應用至少存在1個漏洞,web應用用的平均漏洞數量為11個。

        Web漏洞攻擊方式

        SQL注入攻擊:

        SQL注入攻擊指的是通過構建特殊的輸入作為參數傳入Web應用程序,而這些輸入大都是SQL語法里的一些組合,通過執行SQL語句進而執行攻擊者所要的操作,其主要原因是程序沒有細致地過濾用戶輸入的數據,致使非法數據侵入系統。

        SQL注入攻擊是常見的針對數據庫的攻擊之一,但是由于SQL注入攻擊是從正常的WWW端口訪問,在防火墻看來與正常訪問并沒有多少區別,因此,針對SQL注入攻擊,市面上的防火墻不會對SQL注入攻擊發出警報。如果管理員沒有及時查看IIS日志的話,可能被入侵很久都不會被發現。

        SQL注入攻擊的攻擊手法靈活,可以根據頁面對輸入語句(上傳文件)過濾不嚴格或者構造輸入語句的源代碼有邏輯錯誤導致被SQL注入攻擊。

        SQL注入攻擊主要步驟有(1)對網站進行分析測試,找到SQL注入漏洞;(2)分析數據庫服務器類型,針對不同類型的數據庫,采用不同的攻擊方式;(3)攻擊成功,查看當前連接數據的賬號權限,并將權限提高到SA權限;(4)發現web虛擬目錄;(5)上傳ASP木馬;(6)得到系統的管理員權限;(7)盜取信息或進行其他違法行為。

        XSS(跨站腳本攻擊)

        是發生在目標用戶的瀏覽器層面上的,當渲染DOM樹的過程成發生了不在預期內執行的JS代碼時,就發生了XSS攻擊。XSS攻擊的重點不在“跨站”,而在于“腳本”。大多數XSS攻擊的主要方式是嵌入一段遠程或者第三方域上的JS代碼。實際上是在目標網站的作用于下執行了這段JS代碼。

        XSS攻擊主要有

        (1)反射型XSS攻擊:也稱作非持久型XSS攻擊,是指發生請求時,XSS代碼出現在請求URL中,作為參數提交到服務器,服務器解析并響應,響應結果包含XSS代碼,最后瀏覽器并執行。

        (2)存儲型XSS攻擊:也稱為持久型XSS攻擊。主要將XSS代碼發送到服務器,然后在下次請求的時候就不用XSS代碼。

        (3)DOM XSS:不同于反射性XSS攻擊和存儲型XSS,DOM XSS代碼不需要服務器的解析響應的直接參與,而是通過瀏覽器的DOM解析,只在客戶端進行。

        網頁掛馬攻擊

        網頁掛馬指的是把一個木馬程序上傳到一個網站里面然后用木馬生成器生一個網馬,再上到空間里面。再加代碼使得木馬在打開網頁時運行。

        網頁掛馬的工作原理

        作為網頁掛馬的散布者,其目的是將木馬下載到用戶本地,并進一步執行,當木馬獲得執行之后,就意味著會有更多的木馬被下載,進一步被執行,進入一個惡性的循環,從而使用戶的電腦遭到攻擊和控制。為達到目的首先要將木馬下載到本地。

        常見的網站掛馬攻擊方式有兩種:

        一種是直接將JavaScript腳本代碼寫在網頁中,當訪問者在瀏覽網頁時,惡意的掛馬腳本就會通過用戶的瀏覽器悄悄地打開網馬窗口,隱藏地運行。

        黑客先將掛馬腳本代碼寫入Windows中的寫字板另存為后綴為.js的腳本文件,并上傳到自己指定的網址。

        對于web攻擊的常見防御

        SQL注入攻擊

        (1)永遠不要信任客戶端提交的數據,一定要對客戶端提交的數據進行校驗,校驗可以考慮數據類型,字符長度或者正則表達式等方式。

        (2)對客戶端提交的數據進行轉義,例如將" ' "轉義為" ' "。

        (3)采用預編譯綁定變量的SQL語句而不是直接拼接SQL語句。

        (4)避免在生產環境中,直接輸出錯誤信息,因為這些錯誤信息有可能被攻擊者利用。

        (5)嚴格執行數據庫賬號權限管理。

        (6)對用戶敏感信息特別是密碼做嚴格加密處理。

        XSS攻擊

        從反射型XSS和DOM XSS攻擊可以看出,我們不能原樣的將用戶輸入的數據直接存到服務器,需要對數據進行一些處理。

        對cookie的保護:對重要的cookie設置httpOnly, 防止客戶端通過document.cookie讀取cookie。服務端可以設置此字段。

        對用戶輸入數據的處理:

        (1)編碼:不能對用戶輸入的內容都保持原樣,對用戶輸入的數據進行字符實體編碼。對于字符實體的概念可以參考文章底部給出的參考鏈接。

        (2)解碼:原樣顯示內容的時候必須解碼,不然顯示不到內容了。

        (3)過濾:把輸入的一些不合法的東西都過濾掉,從而保證安全性。如移除用戶上傳的DOM屬性,如onerror,移除用戶上傳的Style節點,iframe, script節點等。

        網站掛馬攻擊:

        阻止Src請求的異地外域的JS腳本

        安全工程師提供了一段可以中止JS腳本運行的CSS代碼,這段代碼會讓異地外域的JS文件在使用document.write()時,被 document.close()強制關閉。這個時侯JS掛馬的內容往往還沒有來得及寫完,只有部分被強制輸出了,Writer后面的內容再不會被寫入訪 問者的電腦中,從而起到防范JS腳本掛馬的作用。

        上一條:如何避免計算機成為別人的“肉雞” 下一條:網絡安全預警通報

        關閉

         

        聯系我們  

         

        網絡報修:0373-3683676
        網站維護:0373-3683675
        意見建議:0373-3683075
        聯系郵箱:wangluo@xxu.edu.cn
        辦公地點:A07-4樓
        業務指南  

         

        · 新鄉學院實名認證臨時賬戶申請表
        · 應用系統密碼重置流程
        · 網絡故障處理流程
        · 電子郵箱申請流程

        新鄉學院信息化管理辦公室  地址:河南省新鄉市金穗大道東段
        電話:0373-3683675  郵編:453000
        ICP備案號:
        豫ICP備09001218號

        友情链接:  曰本免费一级a做爰视频 {关键词}
        http:// h5u 宁明县| 车险| 彰化县| 岑巩县| 黔西县| 抚顺市| 长海县| 商河县| 阜新| 双峰县| 措勤县| 华池县| 杭锦旗| 凌源市| 牡丹江市| 芦山县| 株洲市| 布尔津县| 玉山县| 镇赉县| 大新县| 兰西县| 卫辉市| 伊宁市| 蛟河市| 永寿县| 安化县| 济阳县| 安庆市| 苏尼特左旗| 黔东| 张北县| 察哈| 阳山县| 凉城县| 乐陵市| 达尔| 惠水县| 叶城县| 玉门市|