最近,很多網站都在建設各種網絡應用軟件,以期為用戶提供更好的服務,這其中尤以各種創建、編輯和管理內容的應用軟件為多。這些系統提供了很多基於用戶輸入信息的強大互動特性,值得注意的是,考慮安全問題,避免第三方的惡意攻擊並確保最佳的用戶體驗也變得更為重要。
黑客攻擊的類型及攔截方式:
黑客可以采取多種不同的攻擊方式部分或全部控制一個網站。一般來說,最常見和最危險的是SQL植入(injection)和跨站點腳本(XSS,cross-site scripting ) 。
SQL植入是一種在網絡應用程序中植入惡意代碼的技術,它利用數據庫層面的安全漏洞以達到非法控制數據庫目的。這種技術非常強大,它可以操縱 網址(查詢字符串)或其他任何形式(搜索,登錄,電子郵件注冊)以植入惡意代碼。您可以在網絡應用安全聯盟(英文)中找到一些關於SQL植入的例子。
為避免此類黑客攻擊的發生的確有法可循。舉例來說,在前端界面和後端數據庫之間增加一個“中間層”就是一種很好的做法。在PHP 中,PDO(PHP Data Objects)擴展通常與參數(有時被稱作placeholder或綁定變量)共同發生作用,而不是直接將用戶輸入做為命令語句。另一種極為簡單的技術 是字符轉義,通過這種方式,所有可以直接影響數據庫結構的危險字符都可以被轉義。例如,參數中每出現一個單引號[ ' ]必須代之以兩個單引號[ ' ' ]來形成一個有效的SQL字符串。這只是兩種您可以采取的、最常見的用以改進網站安全並避免SQL植入的有效方式。您還可以在網上找到許多其他符合您需求 的資源(編程語言,具體的Web應用程序等)。
下面我們要介紹的是跨站點腳本( XSS )技術 。跨站點腳本是一種通過利用網絡應用程序層面的安全漏洞,在網頁中植入惡意代碼的技術。當網絡應用程序處理通過用戶輸入獲得的數據,並且在返回給最終用戶 前沒有任何進一步的檢查或驗證時,這種攻擊就可能發生。您可以在網絡應用安全聯盟(英文)中找到一些跨站點腳本的例子。
有許多辦法可以確保網絡應用程序不被這種技術侵犯。一些簡便易行的方法包括:
剔除可以被插入到表單中的數據輸入(例如,PHP中的strip tags功能);
利用數據編碼,避免潛在惡意字符的直接植入(例如,PHP中的htmlspecialchars功能);
在數據輸入和數據庫端之間創建一個“層”,以避免應用程序代碼被直接植入惡意字符。
一些有關CMSs安全的資源
SQL植入和跨站點腳本只不過是黑客用來攻擊和利用無辜網站的多種技術中的其中兩種。作為一般的安全准則,在網絡安全問題上特別是在使用第三 方軟件時,一直保持更新以確保您安裝了最新版本的軟件是非常重要的。許多圍繞大型建站社區建設的網絡應用程序都提供持續的支持和軟件升級。
下面舉個例子,開放源碼內容管理系統的最大的四個社區——Joomla, WordPress, PHP-Nuke 和 Drupa都在他們的網站上提供關於網絡安全方面的知識並且設有大型社區驅動論壇,用戶可以提出問題或尋求支持。例如,在Hardening WordPress,WordPress提供了如何加強CMS安全的綜合性幫助文件。 Joomla提供了許多有關網絡安全的資源,特別是其中的網絡安全檢查清單,這些操作都是網絡管理員應該采用的。
一些識別黑客攻擊您網站的方法:
如上所述,黑客可能采用很多不同方式攻擊您的網站,也采用多種方法惡意利用無辜的網站。當黑客能夠完全控制一個網站時,他們可以把主頁徹底更換掉,清除所有的內容(刪除您的數據庫表),插入惡意軟件或Cookie盜取程序。他們還可以利用您的網站制造網絡垃 圾,比如在您的網站隱藏指向垃圾網頁的鏈接或建立重定向到惡意軟件網站的頁面。當變化很明顯(比如主頁被更換)時 ,您可以輕松地辨別出黑客攻擊,但對於其他類型的攻擊,特別是那些帶有制造網絡垃圾意圖的攻擊,就比較不易被人察覺。谷歌提供了一些產品和方法,幫助網站 管理員發現自己的網站是否未經許可而被第三方攻擊或更改。例如,通過使用谷歌搜索,您可以檢查黑客是否將特定的惡意關鍵詞添加到您的網站,並能找出您網站 上被攻擊的具體網頁。打開google.cn/,用[site:domain name]來搜索您的網站,查看黑客是否把一些常用的網絡垃圾關鍵詞添加到了您的網站(如偉哥, 色情, MP3, 賭博等) :