通过对网站前端应用系统可能存在的安全漏洞(包括但不限于:SQL注入、命令执行、XSS、文件上传等)和安全配置缺陷进行攻击,最终获得网站后端权限。
攻击者对网站前端攻击的思想遵循“木桶原理”,首先进行网站前端信息收集,探测网站后台地址以及网站服务器开放端口和服务;然后在此基础上,对网站暴露出来的各类漏洞进行探测和验证,识别网站存在的各类漏洞,判断攻击点;最后从网站防御最薄弱的点入手,进行入侵攻击,控制网站服务器的权限,建立隐蔽的远程连接通道,以便持续进行数据窃密或业务可用性破坏等攻击。
因为黑客的攻击方式灵活多变,并根据在攻击过程中获取的网站信息动态地调整攻击路径,将攻击路径集中在网站的脆弱性上,不关注威胁的防御策略已经不足以应对当前的安全形势。分析了黑客攻击网站前端的一般思路,即:(1)在“最小化”原则基础上,只开放网站所需的端口、服务器、组件等,使网站收敛暴露面;(2)对各类网站前端攻击进行精确防护;(3)对黑客可能采取的各类绕过网站防御系统的攻击方式进行检测;(4)对黑客攻击进行反制,如:阻断攻击源、配置更高强度的安全策略、将攻击信息上报到网络安全监管单位等。
SQL注入漏洞技术分析。
SQL注入攻击可以实现数据库的破坏、窃密、篡改等功能,甚至可以控制数据库服务器和实施跳板攻击。基于近年来发布的OWASP十大安全漏洞威胁报告(OWASPTop10),SQL注入一直是漏洞比例和威胁最高的漏洞。
SQL注入漏洞原理。
SQL注入就是利用网站前端系统的漏洞,将攻击者构建的恶意SQL命令注入后台数据库并执行,导致服务器端接收和执行危险语句。通过在应用表单中输入一条指令恶意语句,它就可以得到攻击者期望的动作或信息,而不是按照网站开发者最初设计的意图来执行用户请求。
还没有评论,来说两句吧...