2010年1月30日
攻击有很多种的,其中一部分可以使用ASP.NET代码进行防范的,但是其他的攻击方式还是可以产生破坏的,如直接攻击服务器。下面就来看典型的例子。
网站面临的安全问题是方方面面的,主要可概括为以下四个方面:
1)操作系统、后台数据库的安全问题
这里指操作系统和后台数据库的漏洞,配置不当,如弱口令等等,导致黑客、病毒可以利用这些缺陷对网站进行攻击。
2)Web发布系统的漏洞
Web业务常用的发布系统(即Web服务器),如IIS、Apache等,这些系统存在的安全漏洞,会给入侵者可乘之机。
)Web应用程序的漏洞
主要指Web应用程序的编写人员,在编程的过程中没有考虑到安全的因素,使得黑客能够利用这些漏洞发起对网站的攻击,比如SQL注入、跨站脚本攻击等等。
4)自身网络的安全状况
网站服务器所处的网络安全状况也影响着网站的安全,比如网络中存在的DoS攻击等,也会影响到网站的正常运营。
攻击就是利用系统的脆弱性以实现一定的威胁。攻击的结果也很多,如:
未经授权的访问--用户获取了更多的权限,从而可以将应用程序用于其他的途径,如果获取了网站的管理员的密码,散布政治言论。
代码执行--在目标系统上运行恶意代码,而且还会导致其他的威胁,如木马。
拒绝服务--合法用户被禁止访问应用程序
信息失窃--机密的信息被盗取
破坏信息--信息遭到修改。如,站点被涂改,发布攻击性的消息和政治言论。
下面我们就来看看常见的一些脆弱性,以及对它们的利用,以及引起的威胁。
缓冲区溢出
这个问题由来已久,而且到现在为止,也是Web应用种最常被利用的脆弱性。
当应用程序的外部输入没有经过检查就被插入内存的时候,就会存在缓冲区溢出的脆弱性。如果插入的长度超过了内存中为此分配的空间的长度,输入就溢出,可能将占据内存中的其他的地方,甚至运行恶意的代码。
对缓冲区溢出的主要利用就是把附加的数据写到内存中缓冲区的其他地方,这样就常常导致程序的崩溃,因为内存破坏了,这也是拒绝服务器的攻击方式,如果附加的数据设计的很巧妙的话,附加的数据还可以重写函数的返回地址,那么程序就按照攻击者的意愿执行,病毒,木马就是这样。
当然,在c++中,这个问题很常见,因为C++可以直接操作内存地址,进行很底层的操作。但是在.NET中是否也有这个问题?
因为.net是基于托管代码的,也就是说.net的代码不是直接操作内存,而是在中间隔了一层CLR。托管代码的执行要靠CLR来为止作为边界检查,所以CLR中的任何脆弱性都将转变为应用程序的脆弱性。如果有高手知道了CLR的问题,那么,托管代码也出问题。
脚本注入和跨站脚本攻击
任何时候我们都要有这个心理:用户都是恶意的。所以我们不能信任用户的任何输入,在用户输入的时候一定要检验。假如没有正确的处理好用户的输入,就可能在程序中引入脚本注入的脆弱性。该脆弱性允许用户将自己额脚本注入到数据中,如在用户留言中,用户插入" ",那么我们的留言的页面就中是弹出提示。
跨站脚本的攻击一般表现为一个在URL参数中带有客户端的脚本。这些脚本用来盗取用户的cookie信息等,我们这里只是简单的说下,后面的一些文章还会具体的谈,以及解决方案。
SQL注入
相信这个问题,大家或多或少都知道一些,主要是恶意的用户在我们的程序的数据库中执行精心设计的SQL语句。而且威胁很大,设置可以获取服务器的管理员的权限。
分布式拒绝服务
也称为DDOS(Disrtibute Denial Of Service)。DDOS攻击主要就是用大量的计算机攻击一个系统。很多的计算机联合起来就可以发送很多的虚假的请求,以至于被攻击的系统超负荷,而不能向其他的用户提供服务。
蓄意工具者为了发动DDOS,就必须获取足够多的机器。恶意的用户设计在别人的电脑上注入木马和病毒,获取机器的控制权,"借"别人的电脑发送攻击。被控制的电脑就是所谓的"僵尸"。
DDOS攻击一般来攻击服务器,而且攻击的方式也是防不胜防,很多的防护软件和防火墙不能区分正确的请求和虚假的请求。
人的问题
有时候,被利用的脆弱性不是技术上的脆弱性,而是人的脆弱性。如果用户没有安全的意识,就容易受骗,而为攻击者打开系统的。方式很多,如用Email欺骗用户,诱使用户执行一些程序,还有就是蠕虫...
蛮力攻击
如果不采取一定的措施防止用户无休止的尝试连接应用程序,那么我们就容易受到不计其数的猜测密码口令的攻击,即蛮力攻击。
攻击的方式主要就是设计一个程序,用它向目标应用发送很多的请求以测试不同的密码口令。
有一点要注意:考虑安全问题的时候,我们常常把程序比作为一个城堡,在城堡的周围建造城墙并且严格盘查各个通道。保护Web程序与此类似,但是,如果这样,那么我们对于已经进入城堡的用户就无计可施了。
0 回复,0 引用: Web应用中的面临的安全问题
添加回复