【安全圈】带你了解真正黑客入侵的常用手段及防护措施

  • A+
所属分类:安全新闻

【安全圈】带你了解真正黑客入侵的常用手段及防护措施

越来越多的人能够接触到互联网。这促使许多组织开发基于 web 的应用程序,用户可以在线使用这些应用程序与组织进行交互。为 web 应用程序编写的糟糕代码可能被利用来获得对敏感数据和 web 服务器的未经授权的访问。

【安全圈】带你了解真正黑客入侵的常用手段及防护措施

在本文中,我将向你介绍 web 应用程序黑客技术,以及你可以采取的防止此类攻击的应对措施。

什么是 web 应用程序 ? 什么是网络威胁 ?

web 应用程序 ( 又名网站 ) 是基于客户机 -- 服务器模型的应用程序。服务器提供数据库访问和业务逻辑。它托管在 web 服务器上。客户机应用程序在客户机 web 浏览器上运行。Web 应用程序通常是用 Java、c# 和 VB 等语言编写的。web 应用中使用的数据库引擎包括 MySQL、MS SQL Server、PostgreSQL、SQLite 等。

大多数 web 应用程序部署在可以通过 Internet 访问的公共服务器上。由于易于访问,这使得它们容易受到攻击。以下是常见的 web 应用程序的威胁。

SQL 注入——这种威胁的目标可能是绕过登录算法,破坏数据,等等。

拒绝服务攻击——这种威胁的目标可能是拒绝合法用户对资源的访问。

跨站点脚本 XSS ——这种威胁的目标可能是注入可以在客户端浏览器上执行的代码。

Cookie/Session 盗取——这种威胁的目标是攻击者修改 Cookie/Session 数据,以获得未经授权的访问。

表单篡改——这种威胁的目标是修改电子商务应用程序中的价格等表单数据,以便攻击者能够以较低的价格获得商品。

代码注入——这种威胁的目标是注入可以在服务器上执行的代码,如 PHP、Python 等。代码可以安装后门,透露敏感信息等。

破坏——这种威胁的目标是修改网站上显示的页面,并将所有页面请求重定向到包含攻击者消息的单个页面。

如何保护你的网站免受黑客攻击 ?

组织可以采用以下策略来保护自己不受 web 服务器攻击。

SQL 注入——在将用户参数提交到数据库进行处理之前对其进行清理和验证,可以帮助降低通过 SQL 注入受到攻击的几率。数据库引擎,如 MS SQL Server, MySQL 等,支持参数和预备语句。它们比传统的 SQL 语句安全得多

拒绝服务攻击——如果攻击是简单的 DoS,则可以使用防火墙来拦截来自可疑 IP 地址的流量。适当的网络配置和入侵检测系统也有助于减少 DoS 攻击成功的机会。

跨站点脚本 XSS ——验证和清理 headers、通过 URL 传递的参数、表单参数和隐藏值可以帮助减少 XSS 攻击。

Cookie/Session 中毒——这可以通过加密 Cookie 的内容、设置过期时间、将 Cookie 与用于创建它们的客户端 IP 地址关联来防止。

表单篡改——通过在处理之前验证和验证用户输入,可以防止这种情况。

代码注入——这可以通过将所有参数视为数据而不是可执行代码来防止。可以使用消毒和验证来实现这一点。

破坏——一个好的 web 应用程序开发安全策略应该确保它密封了访问 web 服务器的常用漏洞。这可以是操作系统、web 服务器软件的适当配置,以及开发 web 应用程序时的最佳安全实践。

猜你喜欢  

【安全圈】康卡斯特电视远程黑客打开家庭窥探

【安全圈】分析黑客如何从美国一家公司夺走 1500 万美元?

【安全圈】数千家企业机构遭受DDoS勒索攻击威胁

【安全圈】官网跳转至涉黄网站,西安秦岭野生动物园回应:已报案

【安全圈】苹果T2芯片曝严重漏洞,可为攻击者提供Root访问权限

【安全圈】微软回应Microsoft 365云服务全球性宕机事件

【安全圈】游戏盗版组织Team Xecuter主要成员被捕

【安全圈】微软更新造成Office 365等多个在线服务中断!

【安全圈】Google搜索结果可传播Mac恶意软件

【安全圈】阿塞拜疆屏蔽流行社交平台

【安全圈】大理一区域通信中断11小时,疑因创卫清理组剪断光缆所致

【安全圈】带你了解真正黑客入侵的常用手段及防护措施

【安全圈】带你了解真正黑客入侵的常用手段及防护措施
你点的每个赞,我都认真当成了喜欢



本文始发于微信公众号(安全圈):【安全圈】带你了解真正黑客入侵的常用手段及防护措施

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: