第14章切网站攻防.pptVIP

14.1.1 网站攻击的原理和特点 网站攻击的手段多种多样，其基本原理是：网站攻击者利用网站服务器操作系统自身存在的或因配置不当而产生的安全漏洞、网站编写所使用语言程序本身所具有的安全隐患等，然后通过网站攻击命令、从网上下载的专用软件或自己编写的攻击软件非法进入网站服务器系统，从而获得网站服务器的管理权限，进而非法修改、删除网站系统中的重要信息或在网站服务器的系统中添加垃圾、色情和有害信息（如特洛伊木马）等。 网站攻击主要有以下几个特点。 ⑴ 广泛性：目前，由于网络上各种各样的网站数不胜数，因此给网站攻击者提供了众多的攻击目标，可以说，有网站的地方就有网站攻击的存在，应用比较广泛。 ⑵ 多样性：网站攻击的手段多种多样，主要是因为网站服务器各不相同，且使用的网站编程程序也不尽相同，不同的网站服务器和网站程序都有可能存在着不同的漏洞，因此使得网站的攻击手段极为多样。 ⑶ 危害性：网站攻击的危害性极大，轻者导致网站服务器无法正常运行，重者可以盗取网站用户中的重要信息，造成整个网站的瘫痪，甚至还可以控制整个网站服务器。 ⑷ 难于防范性：对于网站的攻击很难防范，因为每个网站所采用的网站编程程序不尽相同，所产生的漏洞也不相同，很难采用统一的方式为漏洞打补丁。另外，网站的攻击不会在防火墙或系统日志中留下任何入侵痕迹，致使网络管理员也很难从网站日志里查找到入侵者的足迹。 14.1.2 网站的维护与安全 网站的安全的基础是系统及平台的安全，只有在做好系统平台的安全工作后才能保证网站的安全。目前，随着网站数量的增多，以及编写网站代码的程序语言也在不断的更新，致使网站漏洞不断出新，黑客攻击手段不断变化，让用户防不胜防，但用户可以以不变应万变，从如下几个方面来防范网站的安全。 1．网站服务空间是租用的 2. 网站服务空间是自己的 1．网站服务空间是租用的 针对这种情况，网站管理员只能在保护网站的安全方面下功夫，即在网站开发这块做一些安全的工作。 ⑴ 网站数据库的安全：一般SQL注入攻击主要是针对网站数据库的，所以需要在数据库连接文件中添加相应的防攻击的代码。另外，也可以使用专门防SQL注入攻击工具，为有数据库操作的ASP文件加上防注代码。 ⑵ 堵住数据库下载漏洞，换句话说就是不让别人下载数据库文件，并且数据库文件的命名最好复杂并隐藏起来，让别人认不出来。 ⑶ 网站中最好不要有上传和论坛程序。因为这样最容易产生上传文件漏洞以及其他的网站漏洞。 ⑷ 后台管理程序，对于后台管理程序的要求是：首先不要在网页上显示后台管理程序的入口链接，防止黑客攻击，其次就是用户名和密码不能过于简单且定期更换。 ⑸ 定期检查网站上的木马，使用某些专门木马查杀工具，或使用网站程序集成的监测工具定期检查网站上是否存在有木马。除以上外，还可以把网站上的文件除了数据库文件外，都改成只读的属性，以防止文件被篡改。 2. 网站服务空间是自己的 针对这种情况，除了采用上述几点对网站安全进行防范外，还要对网站服务器的安全进行防范。这里以Windows+IIS实现的平台为例，需要做到如下几点。 ⑴ 服务器的文件存储系统要使用NTFS文件系统，因为在对文件和目录进行管理方面，NTFS系统更安全有效； ⑵ 关闭默认的共享文件；建立相应的权限机制，让权限分配以最小化权限的原则分配给Web服务器访问者； ⑶ 删除不必要的虚拟目录、危险的IIS组件和不必要的应用程序映射。 ⑷ 要保护好日志文件的安全，因为，日志文件是系统安全策略的一个重要环节，可以通过对日记的查看，及时发现并解决问题，确保日志文件的安全能有效提高系统整体安全性。 14.1.3 网站的常见攻击方式 网站攻击的手段极其多样，但是黑客常用的网站攻击手段主要有如下几种。 1. 阻塞攻击 2. 文件上传漏洞攻击 3. 跨站脚本攻击 4. 弱密码的入侵攻击 5. 网站旁注入侵 6. 其他脚本攻击 1.阻塞攻击 该类攻击手段主要是企图通过强占网站服务器中的存储空间资源，使网站服务器崩溃或资源耗尽进而无法对外继续提供服务。阻塞类攻击手段典型的攻击方法是：拒绝服务攻击(Denial of Service,简称Dos)，该方法是一类个人或多人利用网络协议组的某些工具，拒绝合法用户对目标系统（如服务器等）或信息访问的攻击。攻击成功后的后果为使目标系统死机、使端口处于停顿状态等，还可以在网站服务器中发送杂乱信息、改变文件名称、删除关键的程序文件等，进而扭曲系统资源状态，使系统的处理速度降低。 2.文件上传漏洞攻击 网页代码中的文件在上传的过程中，其上传路径变量过滤不严格，从而产生一些以某种形式存在安全方面的脆弱性环节，这就是网站的上传漏洞，利用这个上传漏洞可以随意上传网页木马（如ASP木马网页），然后连接上传的网页即可控制整