其次,在客户端方面,大多用户的个人电脑其实也并不安全。用户对网络风险的不警觉以及用户个人账号密码存放的不安全,都可能导致恶意攻击者利用远程木马或是钓鱼网站获取用户的个人账号及密码,最终损害用户的直接利益。
因此,Web安全问题已成为交易类网站的最大风险源,并且有逐年飞速增长的势头。
反观纳斯达克的Web安全隐患,我们发现,即使是像他们这样技术精良的网站,依旧存在不少风险,相比之下,我们大多数网站的防护能力就显得非常薄弱。下面我们就来看看十种黑客惯于利用的攻击方式:
第一、缓冲区溢出攻击。由于应用程序的编码会尝试将应用数据存储于缓存中,而不是正常的分配,这种漏洞往往被黑客所利用,变为攻击手段。因为借助这种错误,恶意代码就可以溢出到另外一个缓存中去执行。
第二、跨站点脚本攻击。攻击类型的代码数据可以被插入到另外一个可信任区域的数据中,最终导致使用可信任的身份来执行攻击,这种攻击方式也是黑客惯用的伎俩。
第三、服务拒绝攻击。这种攻击会导致服务没有能力为正常业务提供服务。
第四、异常错误处理的风险。当错误发生时,系统向用户提交错误提示是很正常的事情,但是如果提交的错误提示中包含了太多的内容,就有可能会被攻击者分析出网络环境的结构或配置。
第五、非法会话标识攻击。当会话标识没有被正常使用时,攻击者还可以借机破坏Web会话,并且实施多个攻击(通过冒用其他的可信任的凭证),借此来绕开认证机制。
第六、命令注入攻击。这一问题的风险是,如果系统没有成功的阻止带有语法含义的输入内容,就有可能导致对计算机系统的非法访问。黑客通过把HTML代码输入一个缺乏有效验证限制的表格域来改变网页的动态生成的内容。当用户进入一个有命令注入漏洞的网页时,他们的浏览器会执行那个代码,而这样就可能会导致恶意命令掌控该用户的计算机和他们的网络。
第七、弱认证机制的隐患。虽然只要通过正确的开发Web应用就可以轻而易举的避免此问题,但是在众多已经在线使用的应用中,这类问题却十分严重。一旦黑客利用弱认证机制或者未加密的数据来获得访问,或是破坏、控制数据,就会造成非常严重的影响。
第八、未受保护的参数传递风险。由于利用统一资源标识符(URL)和隐藏的HTML标记可以传递参数给浏览器,所以浏览器在将HTML传回给服务器之前,是不会修改这些参数的。利用这一破绽的黑客工具现在也比比皆是。
第九、不安全的存储。对于Web应用程序来说,妥善的保存用户名、密码,以及其它与身份验证有关的信息是非常重要的工作。对这些信息进行加密才是最有效预防的方法。然而,在实际操作过程中。大多企业却总是采用那些未经实践验证的加密解决方案,这些方案本身就充满了漏洞。
第十、非法输入。在数据被输入程序前忽略对数据合法性的检验是一个常见的编程漏洞。在对Web应用程序脆弱性的调查中,非法输入问题已经成为大多数Web应用程序的最典型漏洞之一。
基于对以上安全问题的分析,安氏领信的工程师对国内三大主流门户网站做了注入攻击检测,发现同样存在明显的注入漏洞,安全被轻意瓦解。同时安氏领信的工程师们给出了一套经过深入研究后的完善的领信Web盾安全解决方案:
首先,安氏领信专门针对Web服务所面临的安全问题将网络防火墙、入侵防护系统、 Web应用防火墙、 DOS防护网关、网页防篡改系统等多种安全产品和技术进行高效的整合后设计了领信Web盾系统;
此外,根据多年对黑客攻击行为的追踪和渗透测试的经验,安氏领信建立了对黑客行为特征的完整数据库,据此对黑客的各种攻击方式进行检测,从而对已知的Web应用程序漏洞进行防护,并且对基于正常行为认知和协议(行为)异常的情况也有很完善的检测防护机制,从根本上杜绝由于Web防护的漏洞被黑客入侵导致重要数据泄露的情况。
