从攻击者角度谈网站安全.pdfVIP

COMPUTINGSECURITYTECHNIQUES 计算机安全技术 从攻击者角度谈网站安全 黄宁 (解放军电子工程学院，合肥 230037) 摘 要：从 网站攻击者的角度入手，分析网站攻击，了解攻击技术的原理，从而研究应对方式，做到知己知彼 ，更 加深入地做好 网站安全。 关键词：网站安全 ；攻击者 ；数据库 TalkaboutW ebsiteSecurityfrom theAngleoftheAttacker HUANG Ning (ElectronicEngineeringInstituteofPLA，Hefei230037，China) Abstract：Startingfrom thewebsiteoftheattackerSpointofview，analysisofsiteattacks，unde~tandtheprincipleofat— tacktechniques，inordertostudythecopingstyle，toknowyourseffaswellastheenemy，dowebsitesafetyfurther． Keywords：websitesecurity；attacker；database 1 引言 行严格 的过滤和判断。这种攻击手段主要是针对 网站数据库 随着 网络的高速发展 。网络上各种 网站 已经随处可见 。 的，通过代码漏洞 ，读取数据库 内容。攻击者可 以修改构造 根据 CNNIC发布 的 《第 32次中国互联 网络发展状况统计报 参数，提交 SQL查询语句 ，并传递至服务器端 ，从而获取想 告》统计 ，截至 2013年 6月底 ，中国网站数量为 294万，半 要的敏感信息．甚至执行危险的代码或系统命令 。 年增长 26万个 ，增长率为 9．6％。但随之而来 的网站 的安全 2I3 暴力攻击一分布式拒绝服务 (DDoS) 成为人们关注 的重点之一 。根据 国家互联 网应急中心最新发 DDOSfDistributedDenialofService)一般指分布式拒绝服 布的 《网络安全信息与动态周报》统计，一周 内CNCERT监 务攻击 ，通过借助客户 ／服务器技术 ，将多个计算机联合起来 测发现境 内被篡改网站数量为 5410个 ：境 内被植入后 门的网 作为攻击平台．对一个或多个 目标发动 DDoS攻击 ，从而成倍 站数量为 11148个 ：针对境 内网站 的仿 冒页面数量为 520个 。 地提高拒绝服务攻击 的威力。通常 ，攻击者通过一些手段将 因此 网站安全显得尤为重要 ，以攻击者 的角度 ，通过分析网 DDoS主控程序安装在一台计算机上 ，代理程序安装在 Internet 站攻击 的几种手段 ，就可 以更加深入地探索针对 网站威胁 的 上的许多计算机上 (俗称 肉鸡)。主控程序与代理程序进行通 应对方法 。 信并发送指令 ．当代理程序收到指令时安装有代理程序 的计 2 网站攻击的主要手段 算机就发动攻击 。主控程序能在几秒钟 内激活成百上千次代 2．1 直接攻击一弱口令破解 理程序 的运行 。由于网站服务器 的带宽有限，一旦受到大规 网站是在互联网上实时发布的．口令验证是进入服务器或 模的DDoS攻击 ，就可能造成网站堵塞 ，甚至会导致 网站服务 网站后 台主要安全措施 ，口令的重要性就可想而知 ，它就相 当 器崩溃。 于进入家 门的钥匙 ，当别人有一把可以进入你家 的钥匙 ，你 的 2．4 漏洞攻击一文件上传 财物和隐私 的安全将无从谈起。管理员或用户为了方便记忆在