| 网站已经成为各单位开展业务工作的平台,也是对外服务的窗口,其安全性日益受到关注。目前,网站面临多个方面的安全威胁,其主要威胁如下。
|
|
|
|
|
| 网站的认证机制的安全缺陷导致网站服务及信息被非授权访问。攻击者通过口令猜测及“撞库”攻击技术手段,获取网站用户的访问权限。
|
|
|
|
|
| 网站相关的组件存在安全隐患,被攻击者利用,恶意篡改网页。例如,网页上传文件功能存在漏洞,攻击者利用该漏洞把相关的网页信息替换。或者网站服务器的操作系统存在远程访问漏洞,攻击者进入网站服务器,修改网页文件。
|
|
|
|
|
| 网站的访问控制措施不当,导致外部非授权用户获取敏感数据。例如,Web应用程序存在SQL注入漏洞,攻击者可以从外部将网站的后台数据库下载。
|
|
|
|
|
| 网页木马是一个含有恶意功能的网页文件,其目的是使得网页访问者自动下载设置好的木马程序并执行。网页木马将导致用户账户密码私密信息泄露、终端设备被黑客连接控制。如下图所示,攻击者通过网站挂马,然后将用户引向攻击者所控制的网站。
|
|
|
|
|
|
|
|
|
| 攻击者通过网站域名欺骗、网站域名劫持、中间人等技术手段,诱骗网站用户访问以获取敏感信息或提供恶意服务。例如,攻击者伪造某个网上银行域名,用户不知真假,却按银行要求输入账号和密码,攻击者从而获取银行账号信息。网络钓鱼者利用代理技术,操纵网络通信服务,如下图所示。当客户与真实的服务器通信时都要通过钓鱼者控制的服务器,因此客户的秘密信息都被钓鱼者获取。
|
|
|
|
|
|
|
|
|
| 攻击利用目标网站的带宽资源有限性以及TCP/IP协议的安全缺陷,针对目标网站发起DDoS/DoS攻击,使得用户无法正常访问网站服务。常见的网站拒绝服务攻击技术有UDP洪水(UDP Flood)、ICMP洪水(ICMP Flood)、SYN洪水(SYN Flood)、HTTP洪水(HTTP Flood)。攻击者利用专用拒绝服务工具发起攻击。
|
|
|
|
|
| 网站后台管理是网站的控制中心,一旦失去控制,网站的安全就难以保障。网站后台管理的安全主要涉及管理员账号安全性、后台管理程序安全性、内部管理权限安全性。常见的后台管理问题包括以下几个方面:
|
|
|
|
|
| 后台管理页面缺少安全限制,外部任何人都可以访问和尝试登录,导致管理员的口令被猜测。
|
|
|
|
|
| 管理认证应用程序缺少安全性输入检查,导致SQL注入攻击,或者存在认证旁路。
|
|
|
|
|
| 网站安全管理没有细分系统管理、网页发布、安全审计等角色,导致管理员权限过于集中,形成内部安全隐患。
|
|
|
