|
掃描技術(shù)是一類重要的信息安全技術(shù)���,與防火墻、入侵檢測系統(tǒng)互相配合,能夠有效提高信息系統(tǒng)WEB應(yīng)用層的安全性����。通過對(duì)WEB應(yīng)用的深度掃描�����,WEB應(yīng)用的管理員或開發(fā)商可以快速了解WEB應(yīng)用存在的安全漏洞����,客觀評(píng)估WEB應(yīng)用的風(fēng)險(xiǎn)等級(jí)�����,在黑客攻擊前進(jìn)行有效防范。
1. 研究背景
1.1 WEB應(yīng)用安全現(xiàn)狀
隨著互聯(lián)網(wǎng)的發(fā)展����,金融網(wǎng)上交易、政府電子政務(wù)��、企業(yè)門戶網(wǎng)站���、社區(qū)論壇�����、電子商務(wù)等各類基于HTML文件格式的信息共享平臺(tái)(WEB應(yīng)用系統(tǒng))越發(fā)完善��,深入到人們生活中的點(diǎn)點(diǎn)滴滴��。然而WEB應(yīng)用共享平臺(tái)為我們的生活帶來便利的同時(shí)�����,也面臨著前所未有的挑戰(zhàn):WEB應(yīng)用系統(tǒng)直接面向Internet��,以WEB應(yīng)用系統(tǒng)為跳板入侵服務(wù)器甚至控制整個(gè)內(nèi)網(wǎng)系統(tǒng)的攻擊行為已成為最普遍的攻擊手段���。據(jù)Gartner的最新調(diào)查���,目前75%以上的攻擊行為都基于WEB應(yīng)用層面而非網(wǎng)絡(luò)層面;同時(shí)數(shù)據(jù)顯示�����,三分之二的WEB站點(diǎn)都相當(dāng)脆弱�����,易受攻擊�。
據(jù)中國互聯(lián)網(wǎng)應(yīng)急中心最新統(tǒng)計(jì)顯示,2009年我國大陸地區(qū)政府網(wǎng)頁遭篡改事件呈大幅增長趨勢����,被篡改網(wǎng)站的數(shù)量就達(dá)到52225個(gè)。2009年8月份�,公安部對(duì)國內(nèi)政府網(wǎng)站的進(jìn)行安全大檢查,發(fā)現(xiàn)40%存在嚴(yán)重安全漏洞�,包括SQL注入、跨站腳本漏洞等��。由此導(dǎo)致的網(wǎng)頁篡改���、網(wǎng)頁掛馬�����、機(jī)密數(shù)據(jù)外泄等安全事件頻繁發(fā)生�,不但嚴(yán)重影響對(duì)外形象����,有時(shí)甚至?xí)斐删薮蟮慕?jīng)濟(jì)損失,或者嚴(yán)重的社會(huì)問題���,嚴(yán)重危及國家安全和人民利益���。
網(wǎng)頁篡改:一些不法分子的重點(diǎn)攻擊對(duì)象。組織門戶網(wǎng)站一旦被篡改(加入一些敏感的顯性內(nèi)容)�����,引發(fā)較大的影響�����,嚴(yán)重甚至造成政治事件����。
網(wǎng)頁掛馬:網(wǎng)頁內(nèi)容表面上沒有任何異常���,實(shí)際被偷偷的掛上了木馬程序。網(wǎng)頁掛馬未必會(huì)給網(wǎng)站帶來直接損害��,但卻會(huì)給瀏覽網(wǎng)站的用戶帶來巨大損失�。網(wǎng)站一旦被掛馬,其權(quán)威性和公信力將會(huì)受到打擊�����。
機(jī)密數(shù)據(jù)外泄:在線業(yè)務(wù)系統(tǒng)中�����,總是需要保存一些企業(yè)�、公眾的相關(guān)資料,這些資料往往涉及到企業(yè)秘密和個(gè)人隱私�,一旦泄露,會(huì)造成企業(yè)或個(gè)人的利益受損�����,可能會(huì)給單位帶來嚴(yán)重的法律糾紛�。
1.2 傳統(tǒng)安全防護(hù)方法
企業(yè) WEB 應(yīng)用的各個(gè)層面�,都已使用不同的技術(shù)來確保安全性����。為了保護(hù)客戶端機(jī)器的安全,用戶會(huì)安裝防病毒軟件����;為了保證用戶數(shù)據(jù)傳輸?shù)狡髽I(yè) WEB 服務(wù)器的傳輸安全����,通信層通常會(huì)使用 SSL技術(shù)加密數(shù)據(jù);防火墻和 IDS/IPS來保證僅允許特定的訪問���,不必要暴露的端口和非法的訪問�,在這里都會(huì)被阻止��;同時(shí)企業(yè)采用一定的身份認(rèn)證機(jī)制授權(quán)用戶訪問 WEB 應(yīng)用��。
但是�����,即便有防病毒保護(hù)�����、防火墻和 IDS/IPS,企業(yè)仍然不得不允許一部分的通訊經(jīng)
過防火墻�����,保護(hù)措施可以關(guān)閉不必要暴露的端口�,但是 WEB 應(yīng)用所必須的端口,必須開放��。順利通過的這部分通訊����,可能是善意的,也可能是惡意的�����,很難辨別��。同時(shí)���,WEB 應(yīng)用是由軟件構(gòu)成的���,那么��,它一定會(huì)包含漏洞�,這些漏洞可能被惡意的用戶利用���,他們通過執(zhí)行各種惡意的操作��,或者偷竊�、或者操控����、或者破壞 WEB 應(yīng)用中的重要信息��。
1.3 本文研究觀點(diǎn)
網(wǎng)站是否存在WEB 應(yīng)用程序漏洞�����,往往是被入侵后才能察覺�����;如何在攻擊發(fā)動(dòng)之前主動(dòng)發(fā)現(xiàn)WEB應(yīng)用程序漏洞��?答案就是:主動(dòng)防御�,即利用WEB應(yīng)用弱點(diǎn)掃描技術(shù)�����,主動(dòng)實(shí)現(xiàn)對(duì)WEB應(yīng)用的安全防護(hù)����。
本文主要針對(duì)B/S架構(gòu)WEB應(yīng)用系統(tǒng)中典型漏洞����、流行的攻擊技術(shù)、AJAX的隱藏資源獲取�、驗(yàn)證碼圖片識(shí)別等進(jìn)行研究,提出了一種新的面向WEB的漏洞檢測技術(shù)�����,能夠較完整得提取出AJAX的資源���,有效識(shí)別驗(yàn)證碼�。
如果有需要服務(wù)器的租用與托管的敬請(qǐng)聯(lián)系QQ:1501281758(億恩星辰) 聯(lián)系電話:0371—63322220
本文出自:億恩科技【www.allwellnessguide.com】
服務(wù)器租用/服務(wù)器托管中國五強(qiáng)!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商���!15年品質(zhì)保障����!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
