網(wǎng)站安全結(jié)構(gòu)設(shè)計(jì)

時(shí)間：2023-03-27 01:56:01 | 來(lái)源：營(yíng)銷(xiāo)百科

時(shí)間：2023-03-27 01:56:01 來(lái)源：營(yíng)銷(xiāo)百科

網(wǎng)站安全結(jié)構(gòu)設(shè)計(jì)：SQL注入

對(duì)于和后臺(tái)數(shù)據(jù)庫(kù)產(chǎn)生交互的網(wǎng)頁(yè)，如果沒(méi)有對(duì)用戶(hù)輸入數(shù)據(jù)的合法性進(jìn)行全面的判斷，就會(huì)使應(yīng)用程序存在安全隱患。用戶(hù)可以在可以提交正常數(shù)據(jù)的URL或者表單輸入框中提交一段精心構(gòu)造的數(shù)據(jù)庫(kù)查詢(xún)代碼，使后臺(tái)應(yīng)用執(zhí)行攻擊著的SQL代碼，攻擊者根據(jù)程序返回的結(jié)果，獲得某些他想得知的敏感數(shù)據(jù)，如管理員密碼，保密商業(yè)資料等。

跨站腳本攻擊

由于網(wǎng)頁(yè)可以包含由服務(wù)器生成的、并且由客戶(hù)機(jī)瀏覽器解釋的文本和HTML標(biāo)記。如果不可信的內(nèi)容被引入到動(dòng)態(tài)頁(yè)面中，則無(wú)論是網(wǎng)站還是客戶(hù)機(jī)都沒(méi)有足夠的信息識(shí)別這種情況并采取保護(hù)措施。攻擊者如果知道某一網(wǎng)站上的應(yīng)用程序接收跨站點(diǎn)腳本的提交，他就可以在網(wǎng)上上提交可以完成攻擊的腳本，如JavaScript、VBScript、ActiveX、HTML 或 Flash 等內(nèi)容，普通用戶(hù)一旦點(diǎn)擊了網(wǎng)頁(yè)上這些攻擊者提交的腳本，那么就會(huì)在用戶(hù)客戶(hù)機(jī)上執(zhí)行，完成從截獲帳戶(hù)、更改用戶(hù)設(shè)置、竊取和篡改cookie到虛假?gòu)V告在內(nèi)的種種攻擊行為。

隨著攻擊向應(yīng)用層發(fā)展，傳統(tǒng)網(wǎng)絡(luò)安全設(shè)備不能有效的解決目 前的安全威脅，網(wǎng)絡(luò)中的應(yīng)用部署面臨的安全問(wèn)題必須通過(guò)一種全新設(shè)計(jì)的高性能防護(hù)應(yīng)用層攻擊的安全防火墻——應(yīng)用防火墻來(lái)解決。應(yīng)用防火墻通過(guò)執(zhí)行應(yīng)用會(huì)話(huà)內(nèi)部的請(qǐng)求來(lái)處理應(yīng)用層。應(yīng)用防火墻專(zhuān)門(mén)保護(hù)Web應(yīng)用通信流和所有相關(guān)的應(yīng)用資源免受利用Web協(xié)議發(fā)動(dòng)的攻擊。應(yīng)用防火墻可以阻止將應(yīng)用行為用于惡意目的的瀏覽器和HTTP攻擊。這些攻擊包括利用特殊字符或通配符修改數(shù)據(jù)的數(shù)據(jù)攻擊，設(shè)法得到命令串或邏輯語(yǔ)句的邏輯內(nèi)容攻擊，以及以賬戶(hù)、文件或主機(jī)為主要目標(biāo)的目標(biāo)攻擊。

DNS攻擊

黑客使用常見(jiàn)的洪水攻擊，阻擊DNS服務(wù)器，導(dǎo)致DNS服務(wù)器無(wú)法正常工作，從而達(dá)到域名解析失敗，造成網(wǎng)站無(wú)法訪(fǎng)問(wèn)。