自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

終極Web安全防護解決方案(1)

作者:佚名
安全 應(yīng)用安全
在Web信息系統(tǒng)高速發(fā)展的今天,Web信息系統(tǒng)的各種各樣的安全問題已暴漏在我們面前。就在8月份聯(lián)想網(wǎng)御安全服務(wù)部滲透測試工程師在給某部委的OA信息系統(tǒng)做滲透測試時,發(fā)現(xiàn)該OA信息系統(tǒng)的多處安全漏洞。OA信息系統(tǒng)采用JSP+Oracle的B/S架構(gòu)設(shè)計,滲透測試工程師對OA信息安全測試時發(fā)現(xiàn)幾處SQL注入及XSS跨站漏洞。SQL注入漏洞可以獲取所有表的數(shù)據(jù),可以對數(shù)據(jù)庫的數(shù)據(jù)進行添加、刪除等操作,可以獲取數(shù)據(jù)庫的諸多配置及對主機系統(tǒng)執(zhí)行shell命令。

Web信息系統(tǒng)各種安全問題潛伏在Web系統(tǒng)中,Web系統(tǒng)的時時刻刻遭受各種攻擊的安全威脅?,F(xiàn)在大多數(shù)的企業(yè)已經(jīng)意識到Web信息系統(tǒng)的安全威脅,采取了眾多安全措施,花費大量的人力物力在網(wǎng)絡(luò)及服務(wù)器的安全上,為什么信息系統(tǒng)還是得不到真正的安全呢?

企業(yè)的Web安全現(xiàn)狀

現(xiàn)在據(jù)調(diào)查統(tǒng)計75%網(wǎng)絡(luò)攻擊行為都來自于Web應(yīng)用層面而非網(wǎng)絡(luò)層面,同時調(diào)查表明國內(nèi)有近大于50%的站點存在各種Web層面的安全問題?,F(xiàn)在很多的企業(yè)給自己的網(wǎng)絡(luò)應(yīng)用了入侵檢測系統(tǒng)、網(wǎng)絡(luò)防火墻、VPN、網(wǎng)絡(luò)防病毒系統(tǒng)等,為什么還得不到真正的安全呢?

我們應(yīng)用了諸多的安全設(shè)備,但是我們的Web服務(wù)還是要外開放的,也就是說80、443端口還是要開放的。80及443即是Http及Http服務(wù)的端口,只要你的Web服務(wù)開放,那么與Web服務(wù)通訊的信息,有些是正常的訪問,有些是帶有攻擊行為的訪問,Web系統(tǒng)無法判斷那些訪問是惡意的訪問,所有你的Web系統(tǒng)就會出現(xiàn)諸多Web層面的安全問題。

現(xiàn)在企業(yè)的Web信息系統(tǒng)大多為新聞、留言版、郵件、Blog、論壇、OA及其它應(yīng)用系統(tǒng),試想一下這些多的Web信息系統(tǒng)沒有安全漏洞的嗎?目前關(guān)于Web信息系統(tǒng)出現(xiàn)的漏洞最多最嚴重的漏洞就是SQL Injection、XSS跨站安全漏洞。

SQL Injection漏洞

SQL Injection,中文名稱為“SQL 注入”是一種數(shù)據(jù)庫攻擊手段,也是Web應(yīng)用程序漏洞存在的一種表現(xiàn)形式,它的實際意義就是利用某些數(shù)據(jù)庫的外部接口把用戶數(shù)據(jù)插入到實際的數(shù)據(jù)庫操作語言當(dāng)中,從而達到入侵數(shù)據(jù)庫乃至操作系統(tǒng)的目的。

Web程序員在編寫Web系統(tǒng)時對Web的安全性考慮不夠,對用戶輸入的數(shù)據(jù)沒有進行有限的驗證及過濾,從而會引發(fā)SQL注入漏洞。如果我們的新聞系統(tǒng)或者OA辦公系統(tǒng)出現(xiàn)SQL注入漏洞,那么攻擊者通過構(gòu)造的特殊SQL語句就可以查看、插入、刪除數(shù)據(jù)的的數(shù)據(jù)及可以執(zhí)行主機的系統(tǒng)命令等具有很大的危害。

SQL注入攻擊具有如下特點:

(1)sql 注入種類繁多:

按數(shù)據(jù)庫分類就有:

Access、MsSql、Oracle、Informix 、DB2、Sybase 、PostgreSQL 、SQLite 數(shù)據(jù)庫注入,幾乎包含了所有的主流數(shù)據(jù)庫。

按程序語言分類就有:

ASP、ASPX、JSP、PHP、CGI、PL注入,也幾乎包含了所有Web編程語言。

按程序提交數(shù)據(jù)方式分類就有:

GET注入、POST注入、Cookies注入等。

這導(dǎo)致傳統(tǒng)的特征匹配檢測方法僅能識別相當(dāng)少的攻擊,難以防范。

(2)攻擊過程簡單,目前互聯(lián)網(wǎng)上流行眾多的SQL注入攻擊工具,攻擊者借助這些工具可很快對目標Web系統(tǒng)實施攻擊和破壞。

(3)危害大,由于Web編程語言自身的缺陷以及具有安全編程能力的開發(fā)人員少之又少,大多數(shù)Web業(yè)務(wù)系統(tǒng)均具有被SQL注入攻擊的可能。而攻擊者一旦攻擊成功,可以對控制整個Web業(yè)務(wù)系統(tǒng),對數(shù)據(jù)做任意的修改數(shù)據(jù)、甚至刪除整個數(shù)據(jù)庫,給企事業(yè)單位帶來毀滅性的災(zāi)難。

(4)SQL攻擊語句多樣性

就SQL注入攻擊語句大小寫混淆、部分攻擊語句url編碼性、部分攻擊語句16進制編碼等編碼格式、就空格字符就可以用“+”“、“/**/”、“%09”、“[TAB]空格”字符來代替空格。

 

Web安全防護解決方案中的SQL Injection漏洞問題就為大家介紹完了,希望大家多多掌握這方面的知識。

【編輯推薦】

  1. 如何確保 Web應(yīng)用安全
  2. Web應(yīng)用與Web應(yīng)用防火墻之Web應(yīng)用
  3. Web應(yīng)用安全日趨嚴重我們該拿什么拯救
責(zé)任編輯:佚名 來源: 賽迪網(wǎng)
WebSQL Injection
相關(guān)推薦

2011-03-25 13:38:58

2009-12-01 16:28:37

2011-06-21 09:01:02

2010-12-24 12:47:20

2010-12-21 17:17:21

2011-01-06 10:58:40

2010-08-09 12:13:54

2010-05-27 18:26:53

2013-07-04 20:35:03

2016-03-13 17:35:18

2010-12-21 17:28:58

2019-04-10 09:05:19

2024-05-16 17:51:27

2015-05-12 16:02:32

2013-04-11 15:04:47

2010-06-17 22:22:24

2010-10-27 14:35:24

2009-09-22 16:21:46

2009-08-05 09:09:33

2009-10-29 14:00:48

點贊
收藏

51CTO技術(shù)棧公眾號