2015年2月份信息化報道

網站常見的三種漏洞攻擊及防范利器介紹

    國內外黑客組織或者個人為牟取利益竊取和篡改網絡信息，已成為不爭的事實，在不斷給單位和個人造成經濟損失的同時，我們也應該注意到這些威脅大多是基于Web網站發起的攻擊，在給我們造成不可挽回的損失前，現在跟大家介紹幾種常見的網站漏洞，以及這些漏洞的防范方法，目的是幫助廣大讀者理清安全防范思緒，找到當前的防范重點，最大程度地避免或減少威脅帶來的損失。

    1、SQL語句漏洞

    也就是SQL注入，就是通過把SQL命令插入到Web表單遞交或輸入域名或頁面請求的查詢字符串，最終達到欺騙服務器執行惡意的SQL命令，比如先前的很多影視網站泄露VIP會員密碼大多就是通過WEB表單遞交查詢字符暴出的，這類表單特別容易受到SQL注入式攻擊。

    效防范手段：對于SQL注入問題的一般處理方法是賬戶最小權限原則。以下幾種方法推薦使用：對用戶輸入信息進行必要檢查；對一些特殊字符進行轉換或者過濾；使用強數據類型；限制用戶輸入的長度。

    需要注意：這些檢查要放在server運行，client提交的任何東西都是不可信的。使用存儲過程，如果一定要使用SQL語句，那么請用標準的方式組建SQL語句。比如可以利用parameters對象，避免用字符串直接拼SQL命令。當SQL運行出錯時，不要把數據庫返回的錯誤信息全部顯示給用戶，錯誤信息經常會透露一些數據庫設計的細節。

    2、網站掛馬

    掛馬就是在別人電腦里面(或是網站服務器)里植入木馬程序，以盜取一些信息或者控制被掛馬的電腦做一些不法的勾當（如攻擊網站，傳播病毒，刪除資料等）。網頁掛馬就是在網頁的源代碼中加入一些代碼，利用漏洞實現自動下載木馬到機器里。網站掛馬的形式可分為框架掛馬、數據庫掛馬、后臺掛馬、服務器掛馬以及其他形式的掛馬方式。

    有效防范手段：要防止網站被掛馬，可以采取禁止寫入和目錄禁止執行的功能，這兩項功能相組合，就可以有效地防止ASP木馬。此外，網站管理員通過FTP上傳某些數據，維護網頁時，盡量不安裝asp的上傳程序。這對于常被ASP木馬影響的網站來說，會有一些幫助。當然是用專業的查殺木馬工具也是不錯的防護措施。

    需要注意：管理員權限的用戶名和密碼要有一定復雜性，并只允許信任的人使用上傳程序。

     3、XSS跨站攻擊

     XSS又叫CSS (Cross Site Script) ，屬于被動式的攻擊，跨站腳本攻擊。它指的是惡意攻擊者往Web頁面里插入惡意html代碼（攻擊者有時也會在網頁中加入一些以.JS或.VBS為后尾名的代碼），當用戶瀏覽該頁之時，嵌入其中Web里面的html代碼會被執行，從而達到惡意用戶的特殊目的。

    有效防范手段：對于XSS跨站攻擊的防范分為對網站和對個人分別來講。

    對于網站，堅決不要相信任何用戶輸入并過濾所有特殊字符，這樣可以消滅絕大部分的XSS攻擊。

    對于個人，保護自己的最好方法就是僅點擊你想訪問的那個網站上的鏈接。有時候XSS會在你打開電子郵件、打開附件、閱讀留言板、閱讀論壇時自動進行，當你打開電子郵件或是在公共論壇上閱讀你不認識的人的帖子時一定要注意。最好的解決辦法就是關閉瀏覽器的 Javascript 功能。在IE中可以將安全級別設置為最高，可以防cookie被盜。

     實際上，上面三種網站攻擊是目前較為流行和常見的，而防范手段對于專業的網站管理者來說，只是經驗之談，但我們非常清楚的知道，網站漏洞層出不窮，能否及時防御、修復，是網站能否安全運行的決定因素。單靠技術人員的手動修復是不可能做到面面俱到的，需要對網站漏洞敏感程度較高的軟件來有效的保障網站的安全。

     UnisWebScanner這款網站安全掃描器是目前市場上使用比較廣泛的，而且是Web安全性價比不錯的一款安全產品，該軟件速度快，可以緊密跟蹤國內最新網頁木馬，達到快速響應和及時更新能力；掃描結果非常準確，而且不含惡意軟件和廣告軟件。該軟件主要是針對Web安全性進行弱點評估的智能檢測系統，整合了當前各類流行Web攻擊手段，如網頁掛馬攻擊、SQL注入漏洞、跨站腳本攻擊等，適用于通過internet、intranet、extranet進行網上交易或信息發布的大、中、小企業，如金融、證券、政府、電子商務、電信運營商、基金、網游、科研院所等各類企事業單位。