首先我們了解網站都有可能存在哪些漏洞
1����、注入漏洞
最常見、最典型的注入攻擊方式就是SQL注入����,SQL注入漏洞的危害不僅體現(xiàn)在數據庫層面,還有可能危及承載數據庫的操作系統(tǒng)����;如果SQL注入被用來掛馬,還可能用來傳播惡意軟件等��,這些危害包括但不限于:
數據庫信息泄漏:數據庫中存儲的用戶隱私信息泄露。
網頁篡改:通過操作數據庫對特定網頁進行篡改���。
網站被掛馬���,傳播惡意軟件:修改數據庫一些字段的值,嵌入網馬鏈接�,進行掛馬攻擊。
數據庫被惡意操作:數據庫服務器被攻擊�,數據庫的系統(tǒng)管理員帳戶被竄改。
服務器被遠程控制����,被安裝后門:經由數據庫服務器提供的操作系統(tǒng)支持���,讓黑客得以修改或控制操作系統(tǒng)�����。
破壞硬盤數據��,癱瘓全系統(tǒng)�。
2��、XSS跨站腳本漏洞
XSS跨站腳本漏洞的危害包括但不限于:
釣魚欺騙:最典型的就是利用目標網站的反射型跨站腳本漏洞將目標網站重定向到釣魚網站,或者注入釣魚JavaScript以監(jiān)控目標網站的表單輸入�����,甚至發(fā)起基于DHTML更高級的釣魚攻擊方式�����。
網站掛馬:跨站后利用IFrame嵌入隱藏的惡意網站或者將被攻擊者定向到惡意網站上�����,或者彈出惡意網站窗口等方式都可以進行掛馬攻擊�����。
身份盜用:Cookie是用戶對于特定網站的身份驗證標志�����,XSS可以盜取用戶的Cookie�����,從而利用該Cookie獲取用戶對該網站的操作權限�。如果一個網站管理員用戶Cookie被竊取���,將會對網站引發(fā)巨大的危害。
盜取網站用戶信息:當能夠竊取到用戶Cookie從而獲取到用戶身份時����,攻擊者可以獲取到用戶對網站的操作權限,從而查看用戶隱私信息��。
垃圾信息發(fā)送:比如在SNS社區(qū)中��,利用XSS漏洞借用被攻擊者的身份發(fā)送大量的垃圾信息給特定的目標群體�。
劫持用戶Web行為:一些高級的XSS攻擊甚至可以劫持用戶的Web行為,監(jiān)視用戶的瀏覽歷史�,發(fā)送與接收的數據等等。
XSS蠕蟲:XSS 蠕蟲可以用來打廣告�、刷流量、掛馬����、惡作劇����、破壞網上數據、實施DDoS攻擊等�。
3����、文件上傳漏洞
大部分的網站和應用系統(tǒng)都有上傳功能��,一些文件上傳功能實現(xiàn)代碼沒有嚴格限制用戶上傳的文件后綴以及文件類型�,導致允許攻擊者向某個可通過Web訪問的目錄上傳任意PHP文件,并能夠將這些文件傳遞給PHP解釋器���,就可以在遠程服務器上執(zhí)行任意PHP腳本��。
當系統(tǒng)存在文件上傳漏洞時攻擊者可以將病毒��,木馬�,WebShell����,其他惡意腳本或者是包含了腳本的圖片上傳到服務器,這些文件將對攻擊者后續(xù)攻擊提供便利��。根據具體漏洞的差異�,此處上傳的腳本可以是正常后綴的PHP,ASP以及JSP腳本�����,也可以是篡改后綴后的這幾類腳本。
上傳文件是病毒或者木馬時��,主要用于誘騙用戶或者管理員下載執(zhí)行或者直接自動運行�����;
上傳文件是WebShell時����,攻擊者可通過這些網頁后門執(zhí)行命令并控制服務器;
上傳文件是其他惡意腳本時�����,攻擊者可直接執(zhí)行腳本進行攻擊����;
上傳文件是惡意圖片時,圖片中可能包含了腳本���,加載或者點擊這些圖片時腳本會悄無聲息的執(zhí)行;
上傳文件是偽裝成正常后綴的惡意腳本時�����,攻擊者可借助本地文件包含漏洞(Local File Include)執(zhí)行該文件。如將bad.php文件改名為bad.doc上傳到服務器��,再通過PHP的include�,include_once,require��,require_once等函數包含執(zhí)行����。
造成惡意文件上傳的原因主要有三種:
文件上傳時檢查不嚴。沒有進行文件格式檢查��。一些應用僅僅在客戶端進行了檢查�,而在專業(yè)的攻擊者眼里幾乎所有的客戶端檢查都等于沒有檢查,攻擊者可以通過NC���,F(xiàn)iddler等斷點上傳工具輕松繞過客戶端的檢查�����。一些應用雖然在服務器端進行了黑名單檢查��,但是卻可能忽略了大小寫�����,如將.php改為.Php即可繞過檢查��;一些應用雖然在服務器端進行了白名單檢查卻忽略了%00截斷符���,如應用本來只允許上傳jpg圖片�,那么可以構造文件名為xxx.php%00.jpg,其中%00為十六進制的0x00字符����,.jpg騙過了應用的上傳文件類型檢測,但對于服務器來說�����,因為%00字符截斷的關系����,最終上傳的文件變成了xxx.php。
文件上傳后修改文件名時處理不當���。一些應用在服務器端進行了完整的黑名單和白名單過濾��,在修改已上傳文件文件名時卻百密一疏�����,允許用戶修改文件后綴�。如應用只能上傳.doc文件時攻擊者可以先將.php文件后綴修改為.doc�,成功上傳后在修改文件名時將后綴改回.php。
使用第三方插件時引入�。好多應用都引用了帶有文件上傳功能的第三方插件,這些插件的文件上傳功能實現(xiàn)上可能有漏洞���,攻擊者可通過這些漏洞進行文件上傳攻擊��。如著名的博客平臺WordPress就有豐富的插件����,而這些插件中每年都會被挖掘出大量的文件上傳漏洞��。
以上三種漏洞是目前網站入侵中黑客最常利用的漏洞��,其中文件上傳漏洞的影響尤為嚴重����,很多網站開發(fā)好后,由于對上傳文件的篩查不夠嚴格�����,或者對上傳文件目錄權限設置太大、網站模板或源碼本身存在已知的后門或者漏洞����,黑客利用這些漏洞,上傳病毒文件�,拿到wenshell權限,進而控制服務器管理權���,不僅網站被黑����,而且服務器也被抓成肉機
建議:1�����、如果網站建設預算足夠���,盡可能找專業(yè)的網站開發(fā)公司去定制網站��,不要隨便在網上或者淘寶上購買模板站進行修改�����,以免代碼本身有后門�。
2、不論是專門定制的網站�����,還是購買的或者免費下載的開源模板站點���,都要定期檢查網站代碼漏洞,定期更新升級網站代碼(可以到專業(yè)的網站漏洞檢測平臺進行檢測�,也可付費在網站風險評估平臺進行網站安全風險檢測和評估)
3、養(yǎng)成良好的維護習慣����,定期對網站數據庫和網站源碼進行備份;在修改網站代碼前也要做備份���,以免出問題后及時回滾�。
4�、對于敏感信息進行修改或加密,對于網站后臺賬戶密碼盡可能設置復雜�����,而且要定期修改,必要時要對后臺地址做訪問限制����。
5、對于網站程序目錄權限盡量做到分級設置�,不要給多余的權限,更不能給everyone權限(很多客戶搭建網站���,不知道如何設置權限��,就統(tǒng)一設置everyone完全控制)��,不做修改的目錄可只給讀取權限���。
企業(yè)微信