网站服务器存储网页,并根据通过HTTP处理的请求将其提供给客户端,HTTP是HTTP的基本协议,用于在万维网上发布信息。网站服务器的实际角色取决于它们的实现方式。但是,通用网站服务器存储HTML或服务器端脚本文件(例如PHP,ASP等),这些文件会即时生成HTML文件。如果以某种方式实现网站服务器以从数据库中获取信息并以特定的HTML格式提供信息,则网站服务器也可以与数据库进行交互。
在整个体系结构中,HTTP作为负责将信息从客户端传输到服务器(反之亦然)的协议,扮演着至关重要的角色。自然,网络很容易受到黑客的攻击,这些黑客以多种方式攻击网站服务器,以收集未经授权访问的信息。负责保护网站服务器免受此类攻击的防火墙只能阻止某些类型的未经授权的访问,包括出站访问和对OS网络服务的攻击。
随着网络安全已被先进技术所加强,传统的黑客概念已退居二线。但是,黑客已经提出了几种攻击网站服务器的高级方法,例如URL解释,会话劫持,HTML注入,SQL注入等,这些方法很难阻止,但肯定并非不可能。所有网络部署中都有防火墙,但是每个人都知道防火墙在防止网站服务器攻击方面的局限性。
网站服务器容易受到攻击的漏洞
TCP / IP协议套件实施中的漏洞是其中利用最多的漏洞。
利用身份验证漏洞和会话标识符。
手动修改URL参数。
输入数据验证中的问题。
网站服务器攻击的类型及其预防措施
网站服务器攻击的类型很多,预防技术也很多。防火墙提供了一定程度的防护,但并非万无一失。除了通用防火墙之外,还需要实现高级安全性,以确保网站服务器的完全安全。
URL解释攻击
这种攻击也称为URL中毒,因为攻击者通过更改URL的语义但保持语法完整来操纵URL。调整URL的参数,以便可以从网站服务器检索超出预期范围的信息。这种攻击在基于CGI的网站中非常普遍。
为了了解这种攻击是如何进行的,我们以电子邮件应用程序为例,用户可以通过回答安全问题来重置其电子邮件密码。正确回答安全问题后,应用程序将打开一个页面,用户可以在其中设置备用电子邮件地址。接收请求的页面使用户可以重置密码,并具有用户的所有登录凭据。使用URL解释,可以修改承载请求以获取用户详细信息并将其发送到提供的备用电子邮件ID的URL,以获取另一个用户的详细信息。因此,URL解释攻击使其他用户的信息容易受到攻击。
URL解释攻击可以通过实施通常由供应商提供的修复程序以及通过深度检查和验证网站服务器配置来防止。
SQL注入攻击
顾名思义,SQL注入攻击旨在修改数据库或从中提取信息。具有来自URL的参数的SQL查询将被馈送到具有更改数据能力的数据库。数据库中的存储过程也可以通过SQL注入执行,并且数据库可以做事,仅在授权人员需要时才可以做。
进行此攻击时,后端数据库服务器很可能会受到威胁,这对公司来说可能是灾难性的。这种攻击利用的漏洞是允许执行SQL查询而无需验证输入数据的情况。最有可能受到这种攻击的网站是电子商务网站,其电子商务网站具有庞大的数据库,其中包含用户信息。
SQL注入或SQL中毒是一种攻击,它也没有一个简单的解决方法,它需要对源代码进行彻底的检查,遵循对DB应用程序的最低特权,并删除多余和不必要的数据库用户和过程。
输入验证攻击
输入验证攻击是对网站服务器的攻击,其中服务器执行由黑客注入到网站服务器或数据库服务器的代码。在执行之前,需要验证许多输入类型,包括数据类型,数据范围等。通过使用未经验证的输入执行代码,攻击者可以检索或修改信息。
通过绕过使用java script代码的客户端检查来完成此攻击。这种攻击也可能会篡改隐藏文件。可以多种方式将数据发送到网站服务器,包括URL,HTTP标头,POST请求和cookie。编写代码并信任从用户接收的数据时的任何疏忽都可能导致此类攻击。
当涉及输入验证攻击时,实际上没有任何对策。唯一的预防措施是遵循良好的编码习惯。该代码应具有验证所有输入(如数据类型,数据范围,元字符和缓冲区大小)的规定。
缓冲区溢出攻击
缓冲区溢出攻击意味着为用户输入保留的缓冲区故意蓄意溢出。当应用程序等待用户的输入时,它会分配一个堆栈,该堆栈具有一个存储位置,用户输入的输入数据将在该位置被存储。攻击者通过写入任意数据来淹没此空间,从而使内存堆栈已满,并且用户拒绝该服务。这是执行拒绝服务攻击的方法之一,将在后面详细介绍。
这种攻击的另一个方面是,黑客可以在堆栈中提供可执行命令。虽然,命令执行的安全性取决于黑客指定的返回地址。从崩溃中恢复后,堆栈将返回到返回地址,并且如果堆栈已被更改并替换为期望范围内的堆栈,则该命令可以执行并授予对网站服务器某些部分的访问权限。
对于缓冲区溢出攻击,最好的缓解方法是供应商提供的特定修复程序。但是,检查应用程序内的界限可能是有效的。缓冲区溢出测试和源代码审查通常被视为很好的对策。
模仿攻击
冒名顶替攻击也称为IP欺骗,在这种攻击中,黑客假装要使用实际上是冒充可以访问网站服务器的IP的IP来访问网站服务器。黑客利用一些特殊程序来创建一个IP数据包,该IP数据包似乎是来自Intranet的,因此可以进入网站服务器的该部分,该部分仅应由授权人员访问。
模拟攻击利用身份验证协议的漏洞,并获得对网站服务器和数据库的未经授权的访问。可以通过具有强大的身份验证模块和标识流向服务器的流量来应对此类攻击。
模拟攻击的对策是锁定网站配置。此外,还应该有一个防火墙,用于跟踪将请求从中定向到网站服务器的IP源。如果使用cookie完成模拟,则对它们进行混淆是一个很好的解决方案,因此无法操纵cookie。
基于密码的攻击
网站服务器的身份验证系统通常基于标识有效用户并授予对网站服务器访问权限的密码。如果黑客可以通过任何方式获取您的用户名和密码,则他或她可以访问仅您应该访问的信息。较早的应用程序没有强大的身份验证系统,这使窃听者更容易通过身份验证过程。
破解密码并不容易,黑客使用某些算法来猜测密码并获得对网络的访问权限。一旦黑客通过网络工程师的尝试恢复了网站的正常状态,一旦黑客可以访问网络,他们就可以修改配置,使他们很容易再次入侵网络。
防止基于密码的攻击可以使密码保持冗长而复杂,并且还具有其他安全措施来保护存储密码的数据库。强烈建议对密码进行密码存储。
拒绝服务攻击
拒绝服务攻击(DOS)是一种服务器拒绝服务器为用户提供响应其请求的攻击。这种攻击是通过多种方式执行的,缓冲区流就是其中之一。它是攻击网站服务器的一种有效的方法,自然也是最受欢迎的方法之一。攻击者获得网络访问权限后,会随机分配安全系统专家的注意力,以使他们不会立即意识到攻击,从而可以以其他方式利用网站服务器。
DOS攻击是通过多种方式淹没网站服务器来进行的,包括发送无效数据作为导致应用程序终止的输入,以自动请求充斥网站服务器,从而导致崩溃,阻止通信量,从而导致用户失去访问权限。DOS攻击分为批量攻击,协议攻击和应用程序层攻击。
可以通过实施网站服务器防火墙来防止来自匿名来源的DOS攻击,以检查整个HTTL流量并阻止任何看似恶意的数据包并从未经授权的来源生成。必须维护网络审核跟踪,以便可以轻松跟踪一段时间内所做的更改。该网络还必须在本地以及在Internet上进行测试。
蛮力
顾名思义,Brute Force意味着通过使用所有可能的迭代来破解用户名和密码组合。这是网站服务器攻击的一种基本形式,当黑客知道在身份验证中使用了弱密码时才实施。当除了密码身份验证之外没有其他安全措施时,暴力破解的可能性最大。
防止此类攻击的技巧是创建长密码并且包含不常用的复杂字符的密码。此外,网络中应提供限制登录失败的尝试次数。尝试登录失败一定次数后,该帐户可能被锁定。但是,这不被视为实用的解决方案。还可以使用CAPTCHA来增加额外的安全性,以防止暴力攻击。
源代码披露
通过源代码公开攻击,攻击者无需使用任何分析就可以检索应用程序文件。恢复了应用程序的源代码,然后对其进行了分析,以发现可用于攻击网站服务器的漏洞。通常是由于应用程序设计不佳或配置错误而引起的。
据说在攻击者能够访问服务器端脚本语言(例如PHP或ASP)的源代码时,才发生源代码公开。净。除授权程序员之外,任何人都不得看到这些代码。
通过对网站服务器代理配置进行全面检查,可以将通过实施源代码公开攻击进行的攻击扼杀在萌芽状态。另外,在创建到内部服务器的URL映射时应格外小心。
会话劫持
HTTP是一种无状态协议,而所有网站应用程序都具有状态。当基于不良机制跟踪这些状态时,会话劫持对于黑客来说变得容易。这也称为cookie劫持,因为网站服务器基于cookie确定与用户的会话。劫持者通过访问网络或通过先前保存的cookie来拦截存储在users™计算机上的cookie,从而使其被盗。嗅探程序用于自动执行此攻击。
解决会话劫持攻击的预防措施是使用服务器端跟踪ID,将每个连接与时间戳和关联的IP地址进行匹配。如果以加密方式生成会话ID,则很难解密。服务器会话管理API的使用在防止会话劫持攻击方面也非常有用。
网站服务器攻击的影响
这些攻击的影响范围可能从网站损坏到信息盗窃。入侵网站服务器可能还会带来其他一些严重的影响,例如数据的修改,尤其是用户信息的修改。所有这些都可能导致公司名声不振,并使客户对它失去信心。考虑到他们过去无法对数据保密,因此潜在的用户将害怕再次与品牌共享个人数据。
诸如源代码泄露之类的攻击对于网站可能是灾难性的,因为源代码有时包含登录名和密码,以及经过大量头脑风暴和资源消耗而设计的业务逻辑。拒绝服务(DOS)攻击也对该网站造成严重影响。该网站的信誉受到损害,并且由于其拒绝的痛苦体验,用户讨厌这些网站。
并非所有攻击都是为了窃取信息,而是为了破坏网站。黑客这样做是为了破坏网站的正常运行,并通过暴露其漏洞来驱使用户远离它。
总结思想
为了保护存储在网站服务器上的信息,需要不惜一切代价防止这些网站服务器攻击。正如他们所说,完整的信息是预防的先决条件,几乎提到了威胁网站安全的所有类型的网站服务器攻击,并且还详细讨论了预防这些攻击的方法。这些要点对于建立可防止各种攻击的网站服务器大有帮助。
