首先我們了解網(wǎng)站都有可能存在哪些漏洞
1����、注入漏洞
最常見(jiàn)、最典型的注入攻擊方式就是SQL注入�����,SQL注入漏洞的危害不僅體現(xiàn)在數(shù)據(jù)庫(kù)層面���,還有可能危及承載數(shù)據(jù)庫(kù)的操作系統(tǒng)���;如果SQL注入被用來(lái)掛馬����,還可能用來(lái)傳播惡意軟件等�,這些危害包括但不限于:
數(shù)據(jù)庫(kù)信息泄漏:數(shù)據(jù)庫(kù)中存儲(chǔ)的用戶隱私信息泄露。
網(wǎng)頁(yè)篡改:通過(guò)操作數(shù)據(jù)庫(kù)對(duì)特定網(wǎng)頁(yè)進(jìn)行篡改��。
網(wǎng)站被掛馬�,傳播惡意軟件:修改數(shù)據(jù)庫(kù)一些字段的值����,嵌入網(wǎng)馬鏈接,進(jìn)行掛馬攻擊����。
數(shù)據(jù)庫(kù)被惡意操作:數(shù)據(jù)庫(kù)服務(wù)器被攻擊,數(shù)據(jù)庫(kù)的系統(tǒng)管理員帳戶被竄改����。
服務(wù)器被遠(yuǎn)程控制,被安裝后門:經(jīng)由數(shù)據(jù)庫(kù)服務(wù)器提供的操作系統(tǒng)支持����,讓黑客得以修改或控制操作系統(tǒng)�����。
破壞硬盤數(shù)據(jù)����,癱瘓全系統(tǒng)�����。
2���、XSS跨站腳本漏洞
XSS跨站腳本漏洞的危害包括但不限于:
釣魚欺騙:最典型的就是利用目標(biāo)網(wǎng)站的反射型跨站腳本漏洞將目標(biāo)網(wǎng)站重定向到釣魚網(wǎng)站��,或者注入釣魚JavaScript以監(jiān)控目標(biāo)網(wǎng)站的表單輸入���,甚至發(fā)起基于DHTML更高級(jí)的釣魚攻擊方式。
網(wǎng)站掛馬:跨站后利用IFrame嵌入隱藏的惡意網(wǎng)站或者將被攻擊者定向到惡意網(wǎng)站上����,或者彈出惡意網(wǎng)站窗口等方式都可以進(jìn)行掛馬攻擊。
身份盜用:Cookie是用戶對(duì)于特定網(wǎng)站的身份驗(yàn)證標(biāo)志,XSS可以盜取用戶的Cookie���,從而利用該Cookie獲取用戶對(duì)該網(wǎng)站的操作權(quán)限���。如果一個(gè)網(wǎng)站管理員用戶Cookie被竊取,將會(huì)對(duì)網(wǎng)站引發(fā)巨大的危害�����。
盜取網(wǎng)站用戶信息:當(dāng)能夠竊取到用戶Cookie從而獲取到用戶身份時(shí)�����,攻擊者可以獲取到用戶對(duì)網(wǎng)站的操作權(quán)限���,從而查看用戶隱私信息����。
垃圾信息發(fā)送:比如在SNS社區(qū)中��,利用XSS漏洞借用被攻擊者的身份發(fā)送大量的垃圾信息給特定的目標(biāo)群體�。
劫持用戶Web行為:一些高級(jí)的XSS攻擊甚至可以劫持用戶的Web行為�����,監(jiān)視用戶的瀏覽歷史,發(fā)送與接收的數(shù)據(jù)等等����。
XSS蠕蟲:XSS 蠕蟲可以用來(lái)打廣告、刷流量���、掛馬�����、惡作劇����、破壞網(wǎng)上數(shù)據(jù)����、實(shí)施DDoS攻擊等。
3�、文件上傳漏洞
大部分的網(wǎng)站和應(yīng)用系統(tǒng)都有上傳功能,一些文件上傳功能實(shí)現(xiàn)代碼沒(méi)有嚴(yán)格限制用戶上傳的文件后綴以及文件類型����,導(dǎo)致允許攻擊者向某個(gè)可通過(guò)Web訪問(wèn)的目錄上傳任意PHP文件�����,并能夠?qū)⑦@些文件傳遞給PHP解釋器����,就可以在遠(yuǎn)程服務(wù)器上執(zhí)行任意PHP腳本���。
當(dāng)系統(tǒng)存在文件上傳漏洞時(shí)攻擊者可以將病毒�,木馬����,WebShell,其他惡意腳本或者是包含了腳本的圖片上傳到服務(wù)器�,這些文件將對(duì)攻擊者后續(xù)攻擊提供便利。根據(jù)具體漏洞的差異����,此處上傳的腳本可以是正常后綴的PHP,ASP以及JSP腳本�����,也可以是篡改后綴后的這幾類腳本����。
上傳文件是病毒或者木馬時(shí),主要用于誘騙用戶或者管理員下載執(zhí)行或者直接自動(dòng)運(yùn)行���;
上傳文件是WebShell時(shí)�,攻擊者可通過(guò)這些網(wǎng)頁(yè)后門執(zhí)行命令并控制服務(wù)器��;
上傳文件是其他惡意腳本時(shí)��,攻擊者可直接執(zhí)行腳本進(jìn)行攻擊��;
上傳文件是惡意圖片時(shí)��,圖片中可能包含了腳本����,加載或者點(diǎn)擊這些圖片時(shí)腳本會(huì)悄無(wú)聲息的執(zhí)行;
上傳文件是偽裝成正常后綴的惡意腳本時(shí)���,攻擊者可借助本地文件包含漏洞(Local File Include)執(zhí)行該文件�����。如將bad.php文件改名為bad.doc上傳到服務(wù)器���,再通過(guò)PHP的include�����,include_once��,require�����,require_once等函數(shù)包含執(zhí)行�。
造成惡意文件上傳的原因主要有三種:
文件上傳時(shí)檢查不嚴(yán)�。沒(méi)有進(jìn)行文件格式檢查。一些應(yīng)用僅僅在客戶端進(jìn)行了檢查�����,而在專業(yè)的攻擊者眼里幾乎所有的客戶端檢查都等于沒(méi)有檢查�����,攻擊者可以通過(guò)NC�,F(xiàn)iddler等斷點(diǎn)上傳工具輕松繞過(guò)客戶端的檢查。一些應(yīng)用雖然在服務(wù)器端進(jìn)行了黑名單檢查��,但是卻可能忽略了大小寫����,如將.php改為.Php即可繞過(guò)檢查;一些應(yīng)用雖然在服務(wù)器端進(jìn)行了白名單檢查卻忽略了%00截?cái)喾?�,如?yīng)用本來(lái)只允許上傳jpg圖片���,那么可以構(gòu)造文件名為xxx.php%00.jpg,其中%00為十六進(jìn)制的0x00字符�,.jpg騙過(guò)了應(yīng)用的上傳文件類型檢測(cè)�,但對(duì)于服務(wù)器來(lái)說(shuō),因?yàn)?00字符截?cái)嗟年P(guān)系�,最終上傳的文件變成了xxx.php。
文件上傳后修改文件名時(shí)處理不當(dāng)��。一些應(yīng)用在服務(wù)器端進(jìn)行了完整的黑名單和白名單過(guò)濾�����,在修改已上傳文件文件名時(shí)卻百密一疏��,允許用戶修改文件后綴�����。如應(yīng)用只能上傳.doc文件時(shí)攻擊者可以先將.php文件后綴修改為.doc,成功上傳后在修改文件名時(shí)將后綴改回.php�����。
使用第三方插件時(shí)引入�����。好多應(yīng)用都引用了帶有文件上傳功能的第三方插件��,這些插件的文件上傳功能實(shí)現(xiàn)上可能有漏洞�,攻擊者可通過(guò)這些漏洞進(jìn)行文件上傳攻擊。如著名的博客平臺(tái)WordPress就有豐富的插件����,而這些插件中每年都會(huì)被挖掘出大量的文件上傳漏洞。
以上三種漏洞是目前網(wǎng)站入侵中黑客最常利用的漏洞��,其中文件上傳漏洞的影響尤為嚴(yán)重��,很多網(wǎng)站開(kāi)發(fā)好后����,由于對(duì)上傳文件的篩查不夠嚴(yán)格,或者對(duì)上傳文件目錄權(quán)限設(shè)置太大、網(wǎng)站模板或源碼本身存在已知的后門或者漏洞�,黑客利用這些漏洞,上傳病毒文件�����,拿到wenshell權(quán)限���,進(jìn)而控制服務(wù)器管理權(quán),不僅網(wǎng)站被黑�����,而且服務(wù)器也被抓成肉機(jī)
建議:1����、如果網(wǎng)站建設(shè)預(yù)算足夠,盡可能找專業(yè)的網(wǎng)站開(kāi)發(fā)公司去定制網(wǎng)站�����,不要隨便在網(wǎng)上或者淘寶上購(gòu)買模板站進(jìn)行修改����,以免代碼本身有后門。
2�、不論是專門定制的網(wǎng)站��,還是購(gòu)買的或者免費(fèi)下載的開(kāi)源模板站點(diǎn)����,都要定期檢查網(wǎng)站代碼漏洞����,定期更新升級(jí)網(wǎng)站代碼(可以到專業(yè)的網(wǎng)站漏洞檢測(cè)平臺(tái)進(jìn)行檢測(cè),也可付費(fèi)在網(wǎng)站風(fēng)險(xiǎn)評(píng)估平臺(tái)進(jìn)行網(wǎng)站安全風(fēng)險(xiǎn)檢測(cè)和評(píng)估)
3����、養(yǎng)成良好的維護(hù)習(xí)慣,定期對(duì)網(wǎng)站數(shù)據(jù)庫(kù)和網(wǎng)站源碼進(jìn)行備份����;在修改網(wǎng)站代碼前也要做備份,以免出問(wèn)題后及時(shí)回滾����。
4、對(duì)于敏感信息進(jìn)行修改或加密�,對(duì)于網(wǎng)站后臺(tái)賬戶密碼盡可能設(shè)置復(fù)雜,而且要定期修改����,必要時(shí)要對(duì)后臺(tái)地址做訪問(wèn)限制���。
5、對(duì)于網(wǎng)站程序目錄權(quán)限盡量做到分級(jí)設(shè)置���,不要給多余的權(quán)限���,更不能給everyone權(quán)限(很多客戶搭建網(wǎng)站�,不知道如何設(shè)置權(quán)限,就統(tǒng)一設(shè)置everyone完全控制)���,不做修改的目錄可只給讀取權(quán)限����。
企業(yè)微信