Web安全是网络安全技术中的重要领域。包括SQL注入、跨站脚本攻击、网页挂马等攻击类型。随着Web业务的迅速发展也引起黑客们的强烈关注,Web安全威胁就是黑客利用网站操作系统的漏洞和Web服务程序的SQL注入漏洞等得到Web服务器的控制权限,篡改网页内容,窃取内部数据,使得网站访问者受到侵害。
Web的安全问题,有以下几个方面的原因:
1、Web站点和相关的Web应用程序必须保持全天候服务,使用者包括客户、供应商等。
2、由于对Web站点访问必须是公开的,且其应用程序是基于HTTP(S)的应用层协议,传统的防火墙和入侵检测系统是从网络层保护Web应用程序,不能很好地为基于Web的应用程序提供保护。
3、Web应用程序经常拥有对客户数据库等后端数据的直接访问能力,因此对有价值的数据保持其安全性的难度就更大。如果Web应用程序受到了破坏,那么黑客将完全可以访问后端数据,即使防火墙配置正确,操作系统和应用程序经常打补丁,也难于完全抵御此类攻击。
4、多数Web应用程序属于定制程序,与商业软件相比,其测试程度更低,这就决定了这些应用程序更易于受到攻击。
基于Web的攻击大体上可分为3类:SQL注入、跨站脚本攻击、网页挂马。
1、SQL注入:利用现有应用程序,通过把SQL命令插入到Web表单递交或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如很多影视网站的VIP会员密码大多是通过Web表单递交查询字符泄露的,这类表单特别容易受到SQL注入式攻击。
2、跨站脚本攻击:指利用网站漏洞恶意盗取用户信息。用户在浏览网站、使用即时通信软件甚至在阅读电子邮件时,通常会点击其中的链接。攻击者通过在链接中插入恶意代码,就能够盗取用户信息。
3、网页挂马:把一个木马程序上传到一个网站,然后用木马生成器生成一个网马,再上传到空间里面,加入代码使得木马在打开网页时运行。
以上就是小编的分享,希望可以帮助到大家。