作為網絡管理員,不少朋友也同時負責單位的網站開發維護的工作,對於WEB開發我想大家都比較精通,可是對如何編寫安全的腳本代碼和入侵者如何通過WEB方式對服務器進行滲透的,可能就不是很清楚了,有不少朋友錯誤的認為我的服務器有硬件防火牆,而且只開了80端口,是不會有網絡安全問題的。下面我就向大家介紹幾種比較常見的腳本攻擊的方法,讓大家從中能夠找到安全防護的方法,從而提高服務器的安全性。 ;
1.;簡單的腳本攻擊;
此類攻擊是由於WEB程序編寫上對特殊字符過濾不嚴密所造成的,雖說不能對服務器的安全造成嚴重威脅,可是卻可以使入侵者發布含有HTML語句的惡意代碼,擾亂網站秩序,從而對網站產生不良影響。下面給大家舉個例子:某網站在進行用戶注冊時,沒有對特殊字符進行過濾,就有可能被無聊者利用,假設論壇的管理員ID為:webmaster,那就有可能有人在注冊用戶名時注冊成;webmaster;,盡管ID有區別,可是在頁面顯示卻是一樣的,如果無聊者把其他的信息改的和webmaster一樣,那別人就很難區分這兩個ID哪個是真的哪個是假的。有不少網站有自己開發的留言板,而且支持提交HTML留言,這就給破壞者提供了機會,他們可以寫一個自動彈出窗口並打開一個帶木馬的網頁的代碼,這樣別人在浏覽這條留言時就有可能被種下木馬。防范方法很簡單,加個過濾函數就可以了:;
〈%;
function;SqlCheck(fString);
;fString;=;Replace(fString,;"’","");
;fString;=;Replace(fString,;";","");
;fString;=;Replace(fString,;";","");
;fString;=;Replace(fString,;"--","");
;fString;=;Replace(fString,;",","");
;fString;=;Replace(fString,;"(","");
;fString;=;Replace(fString,;")","");
;fString;=;Replace(fString,;"=","");
;fString;=;Replace(fString,;"%","");
;fString;=;Replace(fString,;"*","");
;fString;=;Replace(fString,;"<","");
;fString;=;Replace(fString,;">","");
;SqlCheck;=;fString;
end;function;
%〉;
以上過濾函數中的String;=;Replace(fString,;"<","");fString;=;Replace(fString,;">","")可以去掉語句中的“<”和“>”符號,使HTML代碼無法運行。 ;
2.;Sql;Injection;漏洞攻擊;
也叫Sql注入攻擊,是目前比較常見的一種WEB攻擊方法,它利用了通過構造特殊的SQL語句,而對數據庫進行跨表查詢的攻擊,通過這種方式很容易使入侵者得到一個WebShell,然後利用這個WebShell做進一步的滲透,直至得到系統的管理權限,所以這種攻擊方式危害很大。建議大家使用NBSI,小榕的WED+WIS等注入工具對自己的網站掃描一下,看是否存在此漏洞。還有一種比較特殊的Sql注入漏洞,之所以說比較特殊,是因為它是通過構造特殊的SQL語句,來欺騙鑒別用戶身份代碼的,比如入侵者找到後台管理入口後,在管理員用戶名和密碼輸入“’or;’1’=’1’”、“’or’’=’”、“’);or;(’a’=’a”、“";or;"a"="a”、“’;or;’a’=’a”、“’;or;1=1--”等這類字符串(不包含引號),提交,就有可能直接進入後台管理界面,由此也可以看出對特殊字符進行過濾是多麼的重要。還有一點要注意,一定不要讓別人知道網站的後台管理頁面地址,除了因為上面的原因外,這也可以防止入侵者通過暴力破解後台管理員用戶名和密碼等方法進入後台管理。這類攻擊的防范方法除了加上面提到的過濾函數外,還要屏蔽網站的錯誤信息,同時也需要配置好IIS的執行權限,以前的雜志也詳細介紹過防范方法,在這裡不做詳細說明。 ;
3.對整站系統和論壇的攻擊;
不少網站使用一些比如動易,喬客,動網,BBSXP等知名度高,功能強大的系統和論壇,由於這些系統的功能強大,所以不可避免的就帶來了不小的安全風險。因為可以從網上直接得到這些系統的代碼,再加上使用這些系統的網站比較多,所以研究這些系統漏洞的人也就很多,我們也就經常會在網上可以看到某某系統又出最新漏洞的文章,建議大家經常不定期的去這些系統的官方網站下載最新的補丁。 ;
本文主要是為了讓廣大的WEB程序開發人員提高安全意識和找到防范入侵者的方法,通過研究上面的一些入侵方法來防范入侵者的攻擊,請大家不要利用本文介紹的一些方法用於攻擊別人上,由本文方法造成任何損失,由使用者負責,本人概不負責。