網(wǎng)站常見(jiàn)受攻擊方式及解決辦法

注：本篇文章主要介紹網(wǎng)站常見(jiàn)受攻擊方式及解決辦法，僅代表個(gè)人理解，如有疑問(wèn)或不正之處，歡迎批評指正。

一個(gè)網(wǎng)站建立以后,如果不注意安全方面的問(wèn)題,很容易被人攻擊,下面就討論一下幾種漏洞情況和防止攻擊的辦法.

一.SQL注入

所謂SQL注入，就是通過(guò)把SQL命令插入到Web表單提交或輸入域名或頁(yè)面請求的查詢(xún)字符串，最終達到欺騙服務(wù)器執行惡意的SQL命令。具體來(lái)說(shuō)，它是利用現有應用程序，將（惡意）的SQL命令注入到后臺數據庫引擎執行的能力，它可以通過(guò)在Web表單中輸入（惡意）SQL語(yǔ)句得到一個(gè)存在安全漏洞的網(wǎng)站上的數據庫，而不是按照設計者意圖去執行SQL語(yǔ)句。[1] 比如先前的很多影視網(wǎng)站泄露VIP會(huì )員密碼大多就是通過(guò)WEB表單遞交查詢(xún)字符暴出的，這類(lèi)表單特別容易受到SQL注入式攻擊．
原理：
SQL注入攻擊指的是通過(guò)構建特殊的輸入作為參數傳入Web應用程序，而這些輸入大都是SQL語(yǔ)法里的一些組合，通過(guò)執行SQL語(yǔ)句進(jìn)而執行攻擊者所要的操作，其主要原因是程序沒(méi)有細致地過(guò)濾用戶(hù)輸入的數據，致使非法數據侵入系統。
根據相關(guān)技術(shù)原理，SQL注入可以分為平臺層注入和代碼層注入。前者由不安全的數據庫配置或數據庫平臺的漏洞所致；后者主要是由于程序員對輸入未進(jìn)行細致地過(guò)濾，從而執行了非法的數據查詢(xún)?；诖?，SQL注入的產(chǎn)生原因通常表現在以下幾方面：①不當的類(lèi)型處理；②不安全的數據庫配置；③不合理的查詢(xún)集處理；④不當的錯誤處理；⑤轉義字符處理不合適；⑥多個(gè)提交處理不當。
防護：
1.永遠不要信任用戶(hù)的輸入。對用戶(hù)的輸入進(jìn)行校驗，可以通過(guò)正則表達式，或限制長(cháng)度；對單引號和雙”-“進(jìn)行轉換等。
2.永遠不要使用動(dòng)態(tài)拼裝sql，可以使用參數化的sql或者直接使用存儲過(guò)程進(jìn)行數據查詢(xún)存取。
3.永遠不要使用管理員權限的數據庫連接，為每個(gè)應用使用單獨的權限有限的數據庫連接。
4.不要把機密信息直接存放，加密或者hash掉密碼和敏感的信息。
5.應用的異常信息應該給出盡可能少的提示，最好使用自定義的錯誤信息對原始錯誤信息進(jìn)行包裝
6.sql注入的檢測方法一般采取輔助軟件或網(wǎng)站平臺來(lái)檢測，軟件一般采用sql注入檢測工具jsky，網(wǎng)站平臺就有億思網(wǎng)站安全平臺檢測工具。MDCSOFT SCAN等。采用MDCSOFT-IPS可以有效的防御SQL注入，XSS攻擊等。

二.跨站腳本攻擊(XSS)

跨站腳本攻擊（XSS，Cross-site scripting）是最常見(jiàn)和基本的攻擊WEB網(wǎng)站的方法。攻擊者在網(wǎng)頁(yè)上發(fā)布包含攻擊性代碼的數據。當瀏覽者看到此網(wǎng)頁(yè)時(shí)，特定的腳本就會(huì )以瀏覽者用戶(hù)的身份和權限來(lái)執行。通過(guò)XSS可以比較容易地修改用戶(hù)數據、竊取用戶(hù)信息，以及造成其它類(lèi)型的攻擊，例如CSRF攻擊

常見(jiàn)解決辦法:確保輸出到HTML頁(yè)面的數據以HTML的方式被轉義

出錯的頁(yè)面的漏洞也可能造成XSS攻擊.比如頁(yè)面/gift/giftList.htm?page=2找不到,出錯頁(yè)面直接把該url原樣輸出,如果攻擊者在url后面加上攻擊代碼發(fā)給受害者,就有可能出現XSS攻擊

三. 跨站請求偽造攻擊（CSRF)

跨站請求偽造（CSRF，Cross-site request forgery）是另一種常見(jiàn)的攻擊。攻擊者通過(guò)各種方法偽造一個(gè)請求，模仿用戶(hù)提交表單的行為，從而達到修改用戶(hù)的數據，或者執行特定任務(wù)的目的。為了假冒用戶(hù)的身份，CSRF攻擊常常和XSS攻擊配合起來(lái)做，但也可以通過(guò)其它手段，例如誘使用戶(hù)點(diǎn)擊一個(gè)包含攻擊的鏈接
解決的思路有:
1.采用POST請求,增加攻擊的難度.用戶(hù)點(diǎn)擊一個(gè)鏈接就可以發(fā)起GET類(lèi)型的請求。而POST請求相對比較難，攻擊者往往需要借助javascript才能實(shí)現
2.對請求進(jìn)行認證，確保該請求確實(shí)是用戶(hù)本人填寫(xiě)表單并提交的，而不是第三者偽造的.具體可以在會(huì )話(huà)中增加token,確?？吹叫畔⒑吞峤恍畔⒌氖峭粋€(gè)人

四.Http Heads攻擊

凡是用瀏覽器查看任何WEB網(wǎng)站，無(wú)論你的WEB網(wǎng)站采用何種技術(shù)和框架，都用到了HTTP協(xié)議.HTTP協(xié)議在Response header和content之間，有一個(gè)空行，即兩組CRLF（0x0D 0A）字符。這個(gè)空行標志著(zhù)headers的結束和content的開(kāi)始?！奥斆鳌钡墓粽呖梢岳眠@一點(diǎn)。只要攻擊者有辦法將任意字符“注入”到headers中，這種攻擊就可以發(fā)生

以登陸為例:有這樣一個(gè)url:

http://localhost/login?page=http://localhost/index

當登錄成功以后，需要重定向回page參數所指定的頁(yè)面。下面是重定向發(fā)生時(shí)的response headers.

HTTP/1.1 302 Moved Temporarily
Date: Tue, 17 Aug 2010 20:00:29 GMT
Server:Apache mod_fcgid/2.3.5 mod_auth_passthrough/2.1 mod_bwlimited/1.4 FrontPage/5.0.2.2635
Location: http://localhost/index

假如把URL修改一下，變成這個(gè)樣子：
http://localhost/login?page=http://localhost/checkout

那么重定向發(fā)生時(shí)的reponse會(huì )變成下面的樣子：

HTTP/1.1 302 Moved Temporarily
Date: Tue, 17 Aug 2010 20:00:29 GMT
Server: Apache mod_fcgid/2.3.5 mod_auth_passthrough/2.1 mod_bwlimited/1.4 FrontPage/5.0.2.2635
Location: http://localhost/checkout<CRLF>
<CRLF>
<script>alert(‘hello’)</script>

這個(gè)頁(yè)面可能會(huì )意外地執行隱藏在URL中的javascript。類(lèi)似的情況不僅發(fā)生在重定向（Location header）上，也有可能發(fā)生在其它headers中，如Set-Cookie header。這種攻擊如果成功的話(huà)，可以做很多事，例如：執行腳本、設置額外的cookie（<CRLF>Set-Cookie: evil=value）等。
避免這種攻擊的方法，就是過(guò)濾所有的response headers，除去header中出現的非法字符，尤其是CRLF。

服務(wù)器一般會(huì )限制request headers的大小。例如Apache server默認限制request header為8K。如果超過(guò)8K，Aapche Server將會(huì )返回400 Bad Request響應：
對于大多數情況，8K是足夠大的。假設應用程序把用戶(hù)輸入的某內容保存在cookie中,就有可能超過(guò)8K.攻擊者把超過(guò)8k的header鏈接發(fā)給受害者,就會(huì )被服務(wù)器拒絕訪(fǎng)問(wèn).解決辦法就是檢查cookie的大小,限制新cookie的總大寫(xiě)，減少因header過(guò)大而產(chǎn)生的拒絕訪(fǎng)問(wèn)攻擊

五.Cookie攻擊

通過(guò)Java Script非常容易訪(fǎng)問(wèn)到當前網(wǎng)站的cookie。你可以打開(kāi)任何網(wǎng)站，然后在瀏覽器地址欄中輸入：javascript:alert(doucment.cookie),立刻就可以看到當前站點(diǎn)的cookie（如果有的話(huà)）。攻擊者可以利用這個(gè)特性來(lái)取得你的關(guān)鍵信息。例如，和XSS攻擊相配合，攻擊者在你的瀏覽器上執行特定的Java Script腳本，取得你的cookie。假設這個(gè)網(wǎng)站僅依賴(lài)cookie來(lái)驗證用戶(hù)身份，那么攻擊者就可以假冒你的身份來(lái)做一些事情。
現在多數瀏覽器都支持在cookie上打上HttpOnly的標記,凡有這個(gè)標志的cookie就無(wú)法通過(guò)Java Script來(lái)取得,如果能在關(guān)鍵cookie上打上這個(gè)標記，就會(huì )大大增強cookie的安全性

六.重定向攻擊

一種常用的攻擊手段是“釣魚(yú)”。釣魚(yú)攻擊者，通常會(huì )發(fā)送給受害者一個(gè)合法鏈接，當鏈接被點(diǎn)擊時(shí)，用戶(hù)被導向一個(gè)似是而非的非法網(wǎng)站，從而達到騙取用戶(hù)信任、竊取用戶(hù)資料的目的。為防止這種行為,我們必須對所有的重定向操作進(jìn)行審核,以避免重定向到一個(gè)危險的地方.常見(jiàn)解決方案是白名單,將合法的要重定向的url加到白名單中,非白名單上的域名重定向時(shí)拒之,第二種解決方案是重定向token,在合法的url上加上token,重定向時(shí)進(jìn)行驗證.

七.上傳文件攻擊

1.文件名攻擊,上傳的文件采用上傳之前的文件名,可能造成:客戶(hù)端和服務(wù)端字符碼不兼容,導致文件名亂碼問(wèn)題;文件名包含腳本,從而造成攻擊.

2.文件后綴攻擊.上傳的文件的后綴可能是exe可執行程序,js腳本等文件,這些程序可能被執行于受害者的客戶(hù)端,甚至可能執行于服務(wù)器上.因此我們必須過(guò)濾文件名后綴,排除那些不被許可的文件名后綴.

3.文件內容攻擊.IE6有一個(gè)很?chē)乐氐膯?wèn)題 , 它不信任服務(wù)器所發(fā)送的content type，而是自動(dòng)根據文件內容來(lái)識別文件的類(lèi)型，并根據所識別的類(lèi)型來(lái)顯示或執行文件.如果上傳一個(gè)gif文件,在文件末尾放一段js攻擊腳本,就有可能被執行.這種攻擊,它的文件名和content type看起來(lái)都是合法的gif圖片,然而其內容卻包含腳本,這樣的攻擊無(wú)法用文件名過(guò)濾來(lái)排除，而是必須掃描其文件內容，才能識別。

八.ddos攻擊

ddos攻擊意思是黑客通過(guò)幾千臺甚至上萬(wàn)臺肉雞每秒像你的網(wǎng)站ip發(fā)送幾G甚至幾T的流量，對你網(wǎng)站ip進(jìn)行的流量攻擊，一般受攻擊的網(wǎng)站會(huì )因為流量猛漲，內存占用過(guò)高而打不開(kāi)。原理如圖

防御的方法：
（1）可以通過(guò)花錢(qián)像服務(wù)器運營(yíng)商購買(mǎi)更多的流量或帶寬即提高網(wǎng)站服務(wù)器配置，當黑客的攻擊流量小于你服務(wù)器擁有的流量，網(wǎng)站還是可以打開(kāi)，黑客的目的就沒(méi)達到，如果黑客還對你網(wǎng)站ip發(fā)動(dòng)ddos攻擊，他的肉雞流量也會(huì )有損耗。
（2）網(wǎng)站服務(wù)器只開(kāi)放80端口，其他所有端口都關(guān)閉，即在防火墻上做阻止策略。
（3）檢查訪(fǎng)問(wèn)者ip是否是真實(shí)ip，使用Unicast Reverse-Path-Forwarding等反向路由器查詢(xún)檢查訪(fǎng)問(wèn)者ip是否真實(shí)。
（4）啟用高防cdn/' target='_blank'>CDN，高防CDN隱藏源服務(wù)器IP，并對攻擊量流進(jìn)行分流至邊緣節點(diǎn)，可有效解決大流量ddos攻擊，目前最常見(jiàn)的DDoS防御方法。

百度云加速提供四到七層的DDoS攻擊防護，包括CC、SYN flood、UDP flood等所有DDoS攻擊方式， 通過(guò)分布式高性能防火墻 精準流量清洗 CC防御 WEB攻擊攔截，組合過(guò)濾精確識別，有效防御各種類(lèi)型攻擊。

發(fā)布者：水橋丶帕露西