當(dāng)前位置 : 首頁(yè)>軟件學(xué)院>網(wǎng)絡(luò)技術(shù)>黑客攻防>正文

網(wǎng)站遭受黑客攻擊 GOOGLE幫你解決

http://m.yibo1263.com　2009-4-17 7:40:35 　來(lái)源:東北IT網(wǎng) 　編輯:葉子

　　最近，很多網(wǎng)站都在建設(shè)各種網(wǎng)絡(luò)應(yīng)用軟件，以期為用戶提供更好的服務(wù)，這其中尤以各種創(chuàng)建、編輯和管理內(nèi)容的應(yīng)用軟件為多。這些系統(tǒng)提供了很多基于用戶輸入信息的強(qiáng)大互動(dòng)特性，值得注意的是，考慮安全問(wèn)題，避免第三方的惡意攻擊并確保最佳的用戶體驗(yàn)也變得更為重要。

　　黑客攻擊的類型及攔截方式：

　　黑客可以采取多種不同的攻擊方式部分或全部控制一個(gè)網(wǎng)站。一般來(lái)說(shuō)，最常見(jiàn)和最危險(xiǎn)的是SQL植入（injection）和跨站點(diǎn)腳本（XSS,cross-site scripting ）。

　　SQL植入是一種在網(wǎng)絡(luò)應(yīng)用程序中植入惡意代碼的技術(shù)，它利用數(shù)據(jù)庫(kù)層面的安全漏洞以達(dá)到非法控制數(shù)據(jù)庫(kù)目的。這種技術(shù)非常強(qiáng)大，它可以操縱網(wǎng)址（查詢字符串）或其他任何形式（搜索，登錄，電子郵件注冊(cè)）以植入惡意代碼。您可以在網(wǎng)絡(luò)應(yīng)用安全聯(lián)盟(英文)中找到一些關(guān)于SQL植入的例子。

　　為避免此類黑客攻擊的發(fā)生的確有法可循。舉例來(lái)說(shuō)，在前端界面和后端數(shù)據(jù)庫(kù)之間增加一個(gè)“中間層”就是一種很好的做法。在PHP中，PDO（PHP Data Objects）擴(kuò)展通常與參數(shù)（有時(shí)被稱作placeholder或綁定變量）共同發(fā)生作用，而不是直接將用戶輸入做為命令語(yǔ)句。另一種極為簡(jiǎn)單的技術(shù) 是字符轉(zhuǎn)義，通過(guò)這種方式，所有可以直接影響數(shù)據(jù)庫(kù)結(jié)構(gòu)的危險(xiǎn)字符都可以被轉(zhuǎn)義。例如，參數(shù)中每出現(xiàn)一個(gè)單引號(hào)[ ' ]必須代之以兩個(gè)單引號(hào)[ ' ' ]來(lái)形成一個(gè)有效的SQL字符串。這只是兩種您可以采取的、最常見(jiàn)的用以改進(jìn)網(wǎng)站安全并避免SQL植入的有效方式。您還可以在網(wǎng)上找到許多其他符合您需求的資源（編程語(yǔ)言，具體的Web應(yīng)用程序等)。

　　下面我們要介紹的是跨站點(diǎn)腳本（ XSS ）技術(shù) �？缯军c(diǎn)腳本是一種通過(guò)利用網(wǎng)絡(luò)應(yīng)用程序?qū)用娴陌踩┒矗诰W(wǎng)頁(yè)中植入惡意代碼的技術(shù)。當(dāng)網(wǎng)絡(luò)應(yīng)用程序處理通過(guò)用戶輸入獲得的數(shù)據(jù)，并且在返回給最終用戶前沒(méi)有任何進(jìn)一步的檢查或驗(yàn)證時(shí)，這種攻擊就可能發(fā)生。您可以在網(wǎng)絡(luò)應(yīng)用安全聯(lián)盟(英文)中找到一些跨站點(diǎn)腳本的例子。

　　有許多辦法可以確保網(wǎng)絡(luò)應(yīng)用程序不被這種技術(shù)侵犯。一些簡(jiǎn)便易行的方法包括：

　　剔除可以被插入到表單中的數(shù)據(jù)輸入（例如，PHP中的strip tags功能);

　　利用數(shù)據(jù)編碼，避免潛在惡意字符的直接植入（例如，PHP中的htmlspecialchars功能)；

　　在數(shù)據(jù)輸入和數(shù)據(jù)庫(kù)端之間創(chuàng)建一個(gè)“層”，以避免應(yīng)用程序代碼被直接植入惡意字符。

　　一些有關(guān)CMSs安全的資源

　　SQL植入和跨站點(diǎn)腳本只不過(guò)是黑客用來(lái)攻擊和利用無(wú)辜網(wǎng)站的多種技術(shù)中的其中兩種。作為一般的安全準(zhǔn)則，在網(wǎng)絡(luò)安全問(wèn)題上特別是在使用第三方軟件時(shí)，一直保持更新以確保您安裝了最新版本的軟件是非常重要的。許多圍繞大型建站社區(qū)建設(shè)的網(wǎng)絡(luò)應(yīng)用程序都提供持續(xù)的支持和軟件升級(jí)。

　　下面舉個(gè)例子，開放源碼內(nèi)容管理系統(tǒng)的最大的四個(gè)社區(qū)——Joomla, WordPress, PHP-Nuke 和 Drupa都在他們的網(wǎng)站上提供關(guān)于網(wǎng)絡(luò)安全方面的知識(shí)并且設(shè)有大型社區(qū)驅(qū)動(dòng)論壇，用戶可以提出問(wèn)題或?qū)で笾С帧＠�，在Hardening WordPress，WordPress提供了如何加強(qiáng)CMS安全的綜合性幫助文件。 Joomla提供了許多有關(guān)網(wǎng)絡(luò)安全的資源，特別是其中的網(wǎng)絡(luò)安全檢查清單，這些操作都是網(wǎng)絡(luò)管理員應(yīng)該采用的。

　　一些識(shí)別黑客攻擊您網(wǎng)站的方法：

　　如上所述，黑客可能采用很多不同方式攻擊您的網(wǎng)站，也采用多種方法惡意利用無(wú)辜的網(wǎng)站。當(dāng)黑客能夠完全控制一個(gè)網(wǎng)站時(shí)，他們可以把主頁(yè)徹底更換掉，清除所有的內(nèi)容（刪除您的數(shù)據(jù)庫(kù)表），插入惡意軟件或Cookie盜取程序。他們還可以利用您的網(wǎng)站制造網(wǎng)絡(luò)垃圾，比如在您的網(wǎng)站隱藏指向垃圾網(wǎng)頁(yè)的鏈接或建立重定向到惡意軟件網(wǎng)站的頁(yè)面。當(dāng)變化很明顯（比如主頁(yè)被更換)時(shí) ，您可以輕松地辨別出黑客攻擊，但對(duì)于其他類型的攻擊，特別是那些帶有制造網(wǎng)絡(luò)垃圾意圖的攻擊，就比較不易被人察覺(jué)。谷歌提供了一些產(chǎn)品和方法，幫助網(wǎng)站管理員發(fā)現(xiàn)自己的網(wǎng)站是否未經(jīng)許可而被第三方攻擊或更改。例如，通過(guò)使用谷歌搜索，您可以檢查黑客是否將特定的惡意關(guān)鍵詞添加到您的網(wǎng)站，并能找出您網(wǎng)站上被攻擊的具體網(wǎng)頁(yè)。打開google.cn/，用[site:domain name]來(lái)搜索您的網(wǎng)站，查看黑客是否把一些常用的網(wǎng)絡(luò)垃圾關(guān)鍵詞添加到了您的網(wǎng)站（如偉哥, 色情, MP3, 賭博等）：

本新聞共2頁(yè),當(dāng)前在第1頁(yè) 1 2

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

·WordPress站遭黑客攻擊的解決步驟

·國(guó)防部：將黑客攻擊與中國(guó)軍隊(duì)聯(lián)系毫無(wú)根據(jù)

·十種方法避免社交媒介黑客攻擊

·黑客攻擊八大技術(shù)動(dòng)態(tài)

·檢測(cè)不同操作系統(tǒng)下黑客發(fā)起的攻擊

·利用Linux系統(tǒng)IP偽裝抵住黑客攻擊

·五種被忽視的黑客攻擊方式

·學(xué)生黑客攻擊政府網(wǎng)站 2個(gè)月賺200多萬(wàn)

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费