好学IT学院:IT信息技术分享交流平台
标签:安全  来源:IT专家网  作者:冰魂  发布时间:2010-04-15  ★★★加入收藏〗〖手机版
F5中国技术总监吴静涛:讲述WEB应用攻防之道
摘要:随着企业和政府越来越多的业务系统采用基于WEB服务方式,为用户提供方便快捷的同时,也带来了前所未有的巨大安全风险。不仅政府网站,近年来各种web网站攻击事件也是频频发生, SQL注入攻击,页面被篡改、信息失窃、甚至被利用成传播木马的载体…&hel…

内容提示:随着企业和政府越来越多的业务系统采用基于WEB服务方式,为用户提供方便快捷的同时,也带来了前所未有的巨大安全风险。不仅政府网站,近年来各种web网站攻击事件也是频频发生, SQL注入攻击,页面被篡改、信息失窃、甚至被利用成传播木马的载体……那么在威胁不断加重的Web安全面前,我们应该如何应对?我们有幸请来了F5中国区技术总监吴静涛先生为我们解答。

web应用攻击的危害及攻击特点

web 服务器是必经的大门,web 开发的团队技术实力的参差不齐,并非都是“专业型”的高手,编程不规范、安全意识不强,导致为黑客大开方便之门。

吴静涛说:“近年来web 安全漏洞被黑客关注和利用,成为了攻击的主流。使很多网站都深受其害。很多政府、企业、银行等部门对外的窗口和实施电子政务、电子商务的重要平台,也由于web 应用漏洞引起的安全问题被黑客篡改页面、信息失窃、甚至被利用成传播木马的载体,直接影响政府和企业的形象和声誉,这些危害都是毁灭性的。”

Web网站的安全事件频频发生,究其根源,关键原因有二:一是web 网站自身存在技术上的安全漏洞和安全隐患;二是相关的防护设备和防护手段欠缺。

吴静涛表示,以前黑客经常使用DDOS攻击都可以让网站瘫痪,也可能是黑客在显示他的技术高超。但是,近年来随着WEB漏洞引起黑客的关注和利用,这种局面正在改变。现在黑客通常会选择WEB应用程序来实施攻击,如SQL注入攻击、跨站脚本攻击和其它web 漏洞的利用。

利用网站的安全漏洞,尤其是web应用程序漏洞:如SQL 注入等,黑客能够得到web 服务器的控制权限,随意篡改网页内容或窃取重要内部数据,更为严重的则是在网页中植入恶意代码,通过“网页挂马”感染更多的客户端用户。

F5中国区技术总监吴静涛
  吴静涛说:“SQL注入攻击本身就是对数据库进行一系列SQL语句的查询,分号后面会被注释为SQL语句。黑客可以执行一个SQL查询来实现绕过身份验证或者操纵数据。比如说黑客在登陆管理后台时,在用户名字段中输入了‘) OR 1=1- ,熟知 Select 语句的人知道,在条件语句中,无论用户名称是否正确,由于 1=1 永远是正确的,就这样黑客成功的绕过了身份验证,黑客登陆到这个系统中。通过 SQL 注入攻击,黑客可以轻松的敲入一些 SQL 语句登陆进网站、对隐秘数据进行查询等等,而这一切都可以在WEB浏览器中进行的。”