济南网站建设,网站运营维护,网站优化
网站维护您当前的位置:智达维网络科技 > 网站维护 >

常见网站漏洞与防护技术

更新时间:2018-08-16 10:21:18 作者:智达维建站 访问量:3

常见网站漏洞与防护技术
常见网站漏洞与防护技术
    常见的网络威胁种类包括操作系统的漏洞,服务器的漏洞,Web 应用的漏洞等。
1 操作系统漏洞与防护
    操作系统漏洞是指计算机操作系统本身所存在的问题或技术缺陷。目前大众普遍使用的操作系统为微软的Windows 操作系统。Windows 操作系统出现漏洞,某些是由于软件设计失误而产生,而另一些则由于用户设置不当所引发。文献[1]针对以上两种不同的错误采用了以下两种不同的方式加以解决:(1)设计错误:及时下载微软推出的相应补丁程序,并安装;(2)设置错误:用户则应及时修改配置。
2 服务器漏洞与防护
    Web 服务器在运行过程中,时刻受到各种安全威胁,包括利用IIS 攻击、SQL 注入、拒绝服务等。Web 服务器上存在的漏洞包括以下几种常见形式:(1)Web 服务器因各种原因无法完成用户的访问请求;(2)公共网关接口安全方面存在的漏洞;(3)远程用户向服务器发送信息时,如用户账号、密码等重要信息,传输过程中遭受不法分子的拦截。针对以上Web 服务器存在的安全问题,文献[2]详细介绍了Web 服务器的防护技术,包括:防篡改网页技术、密码安全、反向代理、蜜罐技术、设置IP 访问限制、加强客户端管理。
3 Web 应用漏洞与防护
    OWASP(开放式Web 应用程序安全项目)组织每年都会公布TOP10 Web 应用程序安全风险漏洞。其中,注入和失效的身份认证和会话管理是Web 应用程序中两大高危漏洞。
(1)注入
    几乎任何数据源都能成为注入载体,包括用户、参数、外部和内部Web 服务。当攻击者向解释器发送恶意数据时,注入漏洞就产生。注入能导致数据丢失或数据破坏、缺乏可审计性或是拒绝服务。注入漏洞有时甚至能导致完全主机接管。为了防止注入漏洞,需要将数据与命令语句、查询语句分隔开来。最佳选择是使用安全的API,完全避免使用解释器,或提供参数化界面的接口,或迁移到ORM 或实体框架。使用正面的或“白名单”的具有恰当的规范化的输入验证方法同样会有助于防止注入攻击。对于任何剩余的动态查询,可以使用该解释器的特定转义语法转义特殊字符。
(2)失效的身份认证和会话管理
    大多数身份和访问管理系统的设计和实现,普遍存在身份认证失效问题。攻击者可以使用手动方式检测失效的身份验证,通常会关注密码转储,或者在类似于钓鱼攻击之后,发现失效的身份认证。为了防止失效的身份认证和会话管理攻击,可以采取以下措施:①使用非过时的哈希技术来存储密码;②执行弱密码检查;③在尽可能的地方,实现多因素身份验证;④当凭证填充、蛮力和其他攻击被检测到,日志记录身份验证失败并警告管理员。

    文章说明:本站发布的所有文章,版权均属于智达维网络科技。如需转载、摘编或其它方式使用上述作品,请注明“转载自:智达维网络科技”,谢谢您的浏览!本站专注:网站维护网站建设
相关推荐

热线:0531-87583458 电话:0531-66812586 QQ:2676834962
Copyright 智达维网络科技 版权所有
ICP备案编号:鲁ICP备11034527号-1 鲁公网安备 37010402000703号

扫二维码加微信咨询

拨打客服热线

0531-87583458

在线客服