黑客 利用网站操作系统的 漏洞 和服务程序的SQL注入漏洞等得到Web 服务器 的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更为严重的则是在网页中植入恶意代码,使得网站访问者受到侵害。这也使得越来越多的用户关注应用层的安全问题,对Web应用安全的关注度也逐渐升温。
Web安全威胁日趋严重的原因
目前很多业务都依赖于互联网,例如说网上银行、网络购物、网游等,很多恶意攻击者出于不良的目的对Web 服务器进行攻击,想方设法通过各种手段获取他人的个人账户信息谋取利益。正是因为这样,Web业务平台最容易遭受攻击。同时,对Web服务器的攻击也可以说是形形色色、种类繁多,常见的有挂马、SQL注入、缓冲区溢出、嗅探、利用IIS等针对Webserver漏洞进行攻击。
一方面,由于TCP/IP的设计是没有考虑安全问题的,这使得在网络上传输的数据是没有任何安全防护的。攻击者可以利用系统漏洞造成系统进程缓冲区溢出,攻击者可能获得或者提升自己在有漏洞的系统上的用户权限来运行任意程序,甚至安装和运行恶意代码,窃取机密数据。而应用层面的软件在开发过程中也没有过多考虑到安全的问题,这使得程序本身存在很多漏洞,诸如缓冲区溢出、SQL注入等等流行的应用层攻击,这些均属于在软件研发过程中疏忽了对安全的考虑所致。
另一方面,用户对某些隐秘的东西带有强烈的好奇心,一些利用木马或病毒程序进行攻击的攻击者,往往就利用了用户的这种好奇心理,将木马或病毒程序捆绑在一些艳丽的图片、音视频及免费软件等文件中,然后把这些文件置于某些网站当中,再引诱用户去单击或下载运行。或者通过电子邮件附件和QQ、MSN等即时聊天软件,将这些捆绑了木马或病毒的文件发送给用户,利用用户的好奇心理引诱用户打开或运行这些文件。
黑客们另一种常用的方式,即把木马或病毒编写成一个脚本,然后嵌入到网页、电子邮件及QQ等聊天软件的消息当中,或作一个超级连接指向这个脚本,只要用户打开包含有嵌入这些木马或病毒的网页、电子邮件和聊天信息窗口,或单击指向这些木马及病毒脚本的超级连接,这些木马或病毒程序就这样轻松地进入了用户的PC当中。
网络钓鱼攻击的方式也是多种多样,其中之一便是伪造一个十分相似的网站界面,引诱用户在这个假冒的网上银行网站进行登录操作,有些用户轻易相信引诱信息,再加上粗心大意,其后果就不堪设想了。
现今企业当中,移动办公的趋势越来越明显,大部分的企业员工会把计算机带回家中工作,或者在公共场所接入互联网,他们成为当前Web威胁首先侵入的目标。而企业员工对互联网依赖性的加剧,也使得公司网络比以往更加容易受到将员工做为跳板的恶意程序的攻击。恶意程序的主要入侵途径已经转变为http方式,而且病毒产生速度快、变种多,令本来就脆弱的企业网络雪上加霜。
面对来势汹汹的应用威胁,绝大多数企业并没有真正意识到其中的危机。一方面,恶意网站以600%的年增长速度在迅速增加;另一方面,77%带有恶意代码的网站是被植入恶意攻击代码的合法网站。这些威胁正往定向、复合式攻击发展,其中一种攻击会包括多种威胁,比如病毒、蠕虫、特洛伊、间谍软件、僵尸、网络钓鱼电子邮件、漏洞利用、下载程序、社会工程、rootkit、黑客等,造成拒绝服务、服务劫持、信息泄露或篡改等危害。另外,复合攻击也加大了收集所有“样本”的难度,造成的损害也是多方面的,潜伏期难以预测,甚至可以远程可控地发作。
我们又该如何应对Web威胁
随着多形态攻击的数量越来越多,传统防护手段的安全效果也越来越差,总是处于预防威胁-检测威胁-处理威胁-策略执行的循环之中。更为严峻的是,传统的仅针对终端设备的防病毒解决方案并不能应对当前变化多端的Web威胁。
作为个人用户来说,应该本身对网络安全防范的加深和正确认识,不断提高自身的计算机及网络应用技术水平加固计算机的安全,以及努力克服自己的好奇心,消除贪图小便宜的心理,规范自己的网络操作行为,来缓解决Web应用安全问题日趋严重的趋势。
对于企业用户,针对Web应用的安全产品,可以分为网络、Web服务器自身以及程序安全三方面。在网络方面,可以考虑将防火墙、IDS/IPS、安全网关、防病毒墙等产品部署在Web服务器前面,这样可以防御大部分的攻击。此外,可以通过部署更安全的Web服务器、Web服务器自身的保护系统,比如网页防篡改保护系统(防篡改保护和恢复软件)、恶意主动防御系统、访问控制系统、审计系统等产品,做到自动扫描和监控,从而保护系统和文件。目前已经出现了程序安全的研究方向,我们也希望能够早日看到相关产品。
最后我们要做到“两手抓、两手都要硬”,用一句形象的比喻来说明:防火墙/入侵检测系统如同金钟罩铁布衫等外功,防止明枪;而更重要的是需要修炼太极等内功,弥补自身的漏洞,躲避暗箭,内外兼修的效果将使您的企业纵横江湖。
Web安全威胁的内容还有很多,希望大家还要多多掌握。
【编辑推荐】
Struts 与STRUCT是否一回事?
struct开放分类: 编程、C语言结构类型定义和结构变量说明 在实际问题中,一组数据往往具有不同的数据类型。 例如, 在学生登记表中,姓名应为字符型;学号可为整型或字符型; 年龄应为整型;性别应为字符型;成绩可为整型或实型。 显然不能用一个数组来存放这一组数据。 因为数组中各元素的类型和长度都必须一致,以便于编译系统处理。 为了解决这个问题,C语言中给出了另一种构造数据类型——“结构”。 它相当于其它高级语言中的记录。 “结构”是一种构造类型,它是由若干“成员”组成的。 每一个成员可以是一个基本数据类型或者又是一个构造类型。 结构既是一种“构造”而成的数据类型, 那么在说明和使用之前必须先定义它,也就是构造它。 如同在说明和调用函数之前要先定义函数一样。 一、结构的定义定义一个结构的一般形式为:struct 结构名{成员表列};成员表由若干个成员组成, 每个成员都是该结构的一个组成部分。 对每个成员也必须作类型说明,其形式为:类型说明符 成员名;Structs开放分类: 计算机软件Struts只是一个MVC框架(Framework),用于快速开发Java Web应用。 Struts实现的重点在C(Controller),包括ActionServlet/RequestProcessor和我们定制的Action,也为V(View)提供了一系列定制标签(Custom Tag)。 但Struts几乎没有涉及M(Model),所以Struts可以采用JAVA实现的任何形式的商业逻辑。 Spring是一个轻型容器(light-weight container),其核心是Bean工厂(Bean Factory),用以构造我们所需要的M(Model)。 在此基础之上,Spring提供了AOP(Aspect-Oriented Programming, 面向层面的编程)的实现,用它来提供非管理环境下申明方式的事务、安全等服务;对Bean工厂的扩展ApplicationContext更加方便我们实现J2EE的应用;DAO/ORM的实现方便我们进行数据库的开发;Web MVC和Spring Web提供了Java Web应用的框架或与其他流行的Web框架进行集成。 就是说可将两者一起使用,达到将两者自身的特点进行互补。
网站设置404页面有什么作用
所谓404页面,就是当用户输入了一个错误的或者是失效的URL时,服务器返回的页面。 而我们说的“友好”分两个方面:一方面是要对用户友好,另一个方面是要对搜索引擎友好。 一个好的404页面应该包含以下几个元素:1、提示用户要访问的页面不存在。 当一个404页面呈现在用户面前的时候,我们首先要告诉用户要访问的这个页面不存在,同时要简要的叙述一下原因,例如拼写错误、失效链接等等,消除用户的挫败感。 3、一定要返回404状态码。 这一点是对搜索引擎友好的很重要的一个元素。 有些网站不太注意这个问题,由于应用了一些错误的服务器配置,导致返回的是200状态码或是302状态码。 虽然这些状态码对访问网站的用户没有影响,但是却会误导搜索引擎,使搜索引擎认为该页面是有效页面,从而抓取下来。 如果404页面过多,就造成了大量的重复页面,很有可能被搜索引擎认为是作弊而遭到惩罚。 一个好的404页面是需要我们用心去设计的,除了要具备以上说的必备的元素,我们还可以通过页面的设计来提升用户的体验度,从而将404页面的作用最大化。 404页面当用户访问网站的一条错误URL或不存在的URL的时候,服务期会返回一个错误信息,正常情况下是404代码(而不是200),并出现一个错误提示的页面,我们把这个页面就叫做404错误页面。 根据404页面的概念,URL错误或URL不存在的时候,就可能会出现404错误页面,主要因素有: 1、网站改版:网站改版的时候,错误页面出现的几率就会很大,因为由于网站改版,造成URL路径的改变(如果你能很好的使用301,这样也可以解决很多问题); 2、疏忽所致:我们平时在做内部链接或外部链接的时候疏忽了,造成URL出错; 3、原URL失效:由于网站某一条URL改变,造成原URL失效; 4、主机或网络等其他原因,导致出现404错误页面。 关于404页面的做法,这根据主机和主机服务软件不一样,制作步骤和方式也不一样,很多网站目录下都会有默认的错误页面放置目录,只需要把我们做好的404页面放在这个目录下,在主机的控制面板中开启即可,有的主机则需要使用程序来实现404页面,具体可以咨询你的主机商。 404做好了,我们应该自己测试下,看有没有成功。 404页面,其实并不是简单的提示用户:“对不起,你的访问出错了。 请返回主页”,这些信息,特别是企业网站的404页面,在页面上写上企业的联系 方式是一个非常不错的注意,比如一个访客看见自己比较感兴趣的产品,由于网站改版或者其他原因造成访问出错,返回404页面,那么,这个时候给出企业的联系方式,不但可以不让这位访客丢失,还很有可能带来一位客户。 根据我个人经验,总结下一般404页面应该或者可以包含的内容: 1、网站的主页链接(提示用户回到主页寻找自己的内容); 2、网站的大致目录或网站地图的链接(用户寻找信息更为方便); 3、如果网站具有全站搜索功能,404页面上面出现一个搜索框是非常好的方式(进一步减少用户的时间成本); 5、404页面和普通页面的页面布局别相差太多(主要是颜色搭配、相差太大会给用户一种视觉冲击)。 6、网站的联系方式(可包含地址、电话、传真、邮箱等最基本的联系信息); 7、其他可以让用户重新进入网站或与我们联系的内容。 根据上面的“404错误页面应该包含的内容”,我们可以得知,404页面就如同我们网站主犯了错(死链接或错误链接),如何将错误信息给用户带来的影响降到最低,404页面设计很重要,404页面最忌讳单调,那样会给用户很强的视觉冲击,如果您的网站做的很漂亮,但是404页面却很单调,那样,用户体验会差很多。 这样,用户关闭页面直接离开的几率就很大,无意中就造成了用户流失。 注意:为了防止404页面被搜索引擎抓取
www服务和FTP服务从工作原理和服务对象上有什么区别???
什么是WWW服务现在在Internet上最热门的服务之一就是环球信息网WWW(World Wide Web)服务,Web已经成为很多人在网上查找、浏览信息的主要手段。 WWW是一种交互式图形界面的Internet服务,具有强大的信息连接功能。 它使得成千上万的用户通过简单的图形界面就可以访问各个大学、组织、公司等的最新信息和各种服务。 商业界很快看到了其价值,许多公司建立了主页,利用Web在网上发布消息,并反它作为各种服务的界面,如客户服务、特定产品和服务的详细说明、宣传广千以及是渐增长的产品销售和服务。 商业用途促进了环球信息网络的迅速发展。 如果你想通过主页向世界介绍自己或自己的公司,就必须将主页放在一个WEB服务器上,当然你可以使用一些免费的主页空间来发布。 但是如果你有条件,你可以注册一个域名,申请一个IP地址,然后让你的ISP将这个IP地址解析到你的LINUX主机上。 然后,在LINUX主机上架设一个WEB服务器。 你就可以将主页存放在这个自己的WEB服务器上,通过它把自己的主页向外发布。 WWW是基于客户机/服务器方式的信息发现技术和超文本技术的综合。 WWW服务器通过HTML超文本标记语言把信息组织成为图文并茂的超文本;WWW浏览器则为用户提供基于HTTP超文本传输协议的用户界面。 用户使用WWW浏览器通过Internet访问远端WWW服务器上的HTML超文本,如下图所示: HTTP协议 WWW浏览器 <-----> WWW服务器 在WWW的客户机/服务器工作环境中,WWW浏览器起着控制作用,WWW浏览器的任务是使用一个URL(Internet地址)来获取一个WWW服务器上的WEB文档,解释这个HTML,并将文档内容以用户环境所许可的效果最大限度地显示出来。 FTP是一种上传和下载用的软件。 定义如下:FTP(File Transfer Protocal),是用于Internet上的控制文件的双向传输的协议。 同时,它也是一个应用程序。 用户可以通过它把自己的PC机与世界各地所有运行FTP协议的服务器相连,访问服务器上的大量程序和信息。 传输文件的一般步骤如下: 1在本地电脑上登陆到国际互联网, 2搜索有文件共享主机或者个人电脑(一般有专门的FTP服务器网站上公布的,上面有进入该主机或个人电脑的名称,口令和路径) 3当与远程主机或者对方的个人电脑建立连接后,用对方提供的用户名和口令登陆到该主机或对方的个人电脑. 4在远程主机或对方的个人电脑登陆成功后,就可以上传你想跟别人分享的东东或者下载别人授权共享的东东(这里的东东是指能放到电脑里去又能在显示屏上看到的东东) 5完成工作后关闭FTP下载软件,切断连接. 为了实现文件传输,用户还要运行专门的文件传输程序,比如网际快车就有这方面的功能,其它还有很多专门的FTP传输软件,各有各的特色.
发表评论