|
|
馬上注冊�,結交更多好友�����,享用更多功能����。
您需要 登錄 才可以下載或查看�����,沒(méi)有帳號���?注冊
x
攻擊者如此青睞Web攻擊的一個(gè)重要原因是它可以損害一些無(wú)辜的站點(diǎn)�����,并用于感染大量的受害者�。事實(shí)證明����,Web服務(wù)器已經(jīng)被證明是互聯(lián)網(wǎng)絡(luò )中的“軟柿子”�,攻擊者們可以充分利用之���。這種攻擊的唯一受害者就是用戶(hù)��,因為正是用戶(hù)在瀏覽受到危害的網(wǎng)站時(shí)會(huì )將自己暴露給惡意代碼�����。然而��,除了用戶(hù)之外��,還有兩個(gè)受害人�����,即網(wǎng)站的所有者和管理員��。
在近半年來(lái)的SQL注入攻擊中���,這一點(diǎn)尤其明顯����,在其中�����,后端數據庫可能被惡意代碼感染����。清理這種攻擊的后遺癥是很痛苦的���,有許多案例證明�����,清理數據庫之后��,幾小時(shí)后會(huì )再次遭受攻擊����。最佳的方法是預防���,從一開(kāi)始就想方設法避免遭受攻擊����。
在此���,筆者只是總結幾條技巧����,站點(diǎn)所有者和管理員可以遵循之��,便可以將遭受攻擊的機會(huì )最小化��。
制定最佳方法
SQL注入攻擊并不是新東西�����,攻擊者們掌握這項技巧已經(jīng)有許多年了���。近些日子�,許多網(wǎng)站發(fā)表了一些文章提供了一些資源����,幫助開(kāi)發(fā)人員編寫(xiě)安全代碼��。安全管理人員應當制定一些通用的安全方法�����,下面給出三點(diǎn)建議��。一����、建立參數化的存儲進(jìn)程����,二�、最少特權連接��,三���、僅對所有的存儲進(jìn)程授權“運行”許可�����,四�、僅對應用程序域組授予許可��。
除了一開(kāi)始就注意安全地開(kāi)發(fā)應用程序�����,對現有的應用程序實(shí)施評估是很重要的���,這包括對第三方的應用程序�������?梢岳没萜瞻l(fā)布的Scrawlr來(lái)幫助開(kāi)發(fā)人員查找包含漏洞的頁(yè)面����。此外����,谷歌提供的ratproxy也是不錯的選擇����。
盡可能少的特權
開(kāi)發(fā)人員應當確保Web應用程序以最少的特權運行��,千萬(wàn)不要使用管理員賬戶(hù)運行����,如避免使用db_owner 或 sysadmin等賬號運行�����。
服務(wù)器日志
跟蹤日志對于診斷攻擊是很有用的����。近半年以來(lái)的SQL注入攻擊都是通過(guò)惡意的HTTP請求發(fā)生的�����。對服務(wù)器中的URI查詢(xún)串進(jìn)行檢查可有助于確認攻擊���,并可成為日后調查的起始點(diǎn)�����。
第三方廠(chǎng)商
如果單位使用第三方開(kāi)發(fā)的軟件�,要確保其遵循最佳的方法�����。要特別關(guān)注其程序的測試��,要關(guān)注其開(kāi)發(fā)力量和軟件升級能力����。
保護Web應用程序
現在的市場(chǎng)上����,有各種各樣的產(chǎn)品可以強化Web應用程序的安全�����,防御一些攻擊��。但這些不能成為代替開(kāi)發(fā)安全程序的最佳方法和技巧��。例如�����,Web應用程序防火墻中��,現在有大量的商業(yè)產(chǎn)品可以選擇���。有的防火墻���,如IPS方案可有助于保護Web服務(wù)器免受攻擊����,并可阻止惡意的請求�,防止其訪(fǎng)問(wèn)服務(wù)器����。
對付Web威脅和SQL注入攻擊并沒(méi)有什么一招制敵的妙方�����。但是加強對用戶(hù)的教育�����,并實(shí)施一些行業(yè)的最佳方法���,這確實(shí)可防止通過(guò)注入攻擊實(shí)施的Web損害��。 |
|
IP卡
狗仔卡
收藏
支持
反對
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡
