造成网站有安全漏洞的原因是什么
网站是网络访问的基本入口,随着互联网的发展越来越快,网站的弊端就逐步呈现,大大小小的漏洞,黑客通过这些漏洞对网站发起攻击,往往造成的后果不堪设想。下面一起认识一下吧
一、SQL注入漏洞
SQL是网站存在最多也是最常见的漏洞,黑客可以利用该漏洞得到管理员的权限,在网站上挂木马和各种恶意程序或者直接控制服务器。
二、XSS跨站脚本攻击漏洞
通过网站开发留下的漏洞,注入恶意指令代码到网站,使用户加载并执行攻击者恶意制造的网页程序。CSRF跨站点请求伪造,跟XSS攻击一样,存在巨大的危害,攻击者通过伪造用户的浏览器的请求,插入恶意html代码,用一个用户曾经认证访问过的网站发送出去,使目标网站接收并误以为是用户的真实操作而去执行命令,而XSS攻击通过插入恶意脚本,实现对用户游览器的控制,获取用户的一些信息,而CSRF是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。
三、文件上传漏洞
文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。这种攻击方式是最为直接和有效的,“文件上传”本身没有问题,有问题的是文件上传后,服务器怎么处理、解释文件。如果服务器的处理逻辑做的不够安全,则会导致严重的后果。
二、安全漏洞的一般表象
上面我们介绍了什么是安全漏洞,那网站出现了安全漏洞被攻击后,一般会是什么样的结果呢
1.网站瘫痪
网站全面瘫痪,无法正常访问,即在浏览器中无法打开,提示无法连接或者网络错误等信息
2.链接指向篡改
即本应该指向A页面的链接,现在打开后指向了B页面,导致网站逻辑混乱。
3.数据篡改
网站的数据被恶意修改,导致数据与原正常数据出现出入。
4.挂入黑链
网站被挂入黑链,大概网站或者点击网站的某个链接,就会出现非法链接,多以赌博和黄色网站内容为主。
5.信息泄露
网站被攻破后,站点信息被窃取,造成数据的泄露。
6.横向攻击
网站制作被攻击后,该网站将作为攻击源,对网站所在的局域网内部所有的网站进行横向攻击,导致所有网站均收到损害。
7.流量损耗
网站被恶意请求数据,造成带宽损耗。
8.其他现象
三、造成安全漏洞的原因
就像我们上面举得的例子,网站好比你家,黑客好比小偷,小偷要进你家有两个关键因素。第一个是,你家安全防御怎么样,门锁没锁;第二个是,小偷技术怎么样,入股技术高,用C-4炸药炸开也是偷。小偷的技术咱管不了,咱只能从房子的安全防御入手。但房子是个复杂体,从施工,装修,经过不同的劳动单位,使用了不同的材料,每个环节都有可能留下漏洞,所以加强房子的安全系数,是个超级复杂和繁琐的大活。下面我们介绍一下,造成网站安全漏洞的常见原因:
1.SQL注入漏洞
很多程序员在编码时DAO层实现都是直接拼接SQL和参数,或造成SQL注入漏洞,攻击者很容易得到响应的账号密么和控制权限。
解决办法:使用预编译的prepareStatement代替statement;使用框架中的setParameter设置参数。
2.验证码前端校验
把验证码放在前端校验,后台免检,这样很容易被攻击,使得攻击跳过验证环节。
解决办法:前台提交数据到后台后做进一步校验,如验证码校验、数据格式校验、验重校验。
3.表单重复提交
相同操作的表单重复提交,或造成数据多次被更改等漏洞。
解决办法:token验证。
4.文件上传格式校验不合格
对上传的文件格式校验不合格,导致上传一些攻击文件,造成网站被攻击。
解决办法:通过文件头信息严格验证文件格式,从上传功能开始防范。
5.第三方框架的固有漏洞
很多框架有既定的漏洞,尤其是一些开源框架,由于缺乏维护等,漏洞无法及时修复,网站在使用框架后,造成无法修补的漏洞。
解决办法:尽量少用第三方框架,必须使用时要及时根据官方发布的方案进行版本升级,根据公开的漏洞执行方式编写拦截器
6.密码缺省
密码使用缺省,黑客爆破的概率异常的高,非常容易被攻击。
解决办法:通过配置测试模式和生产模式控制验证码验证,管理员账户必须使用非缺省加密处理,必要时使用物理验证。
7.端口开放太多
服务器各种端口全开,很容易被进行针对性的端口攻击。
解决办法:防护墙打开,仅开放必要的端口如80,13389,设置远程登录IP白名单
8.Options不过滤
不过滤Options请求方式,容易被恶意请求
解决办法:
在配置文件里详细配置Options请求策略
9. XSS,CSRF漏洞
黑客通过9XSS攻击,CSRF攻击网站
解决办法:
通过拦截器过滤请求参数
10.X-Frame-Options劫持
视觉上的欺骗手段。攻击者使用一个透明的、不可见
的iframe,覆盖在一个网页上,然后诱使用户在该网页上进行操作,此时用户将在不知
情的情况下点击透明的iframe页面
解决办法:
修改web在服务器配置,添加X-Frame-Options响应头。赋值有如下三种:
1、DENY:不能被嵌入到任何iframe或者frame中。
2、SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中。
3、ALLOW-FROM uri:只能被嵌入到指定域名的框架中。
11.HTTP获取远端WWW服务信息
本插件检测远端HTTP Server信息,这可能使得攻击者了解远程系统类型以便进行下一
步的攻击。