系统安全事件应急预案v1.0
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
举个例子说明:黑客通过研究,挖掘出一个可利用的邮件服务器的XSS。利用跨站脚本XSS,向目标用户(如系统管理员)发送电子邮件,这封邮件里包含特殊构造的内容和XSS,一旦用户打开邮件并查看时,会有两种情况:第一;个人的密码、session、cookie等信息将会被黑客所记录并且得到。第二;出现登录界面(跨站页面),并且URL地址显示是与真实服务器地址一样的,要求输入密码。这个时候如果安全意识较为薄弱的用户就会毫不犹豫的输入,虽然也能正常登录,可其密码已经被黑客所记录并得到。因为,XSS跨站脚本攻击的危害系数也是相当高的,一般黑客都将其与社会工程学结合利用。
1.6
漏洞攻击是对系统威胁较为严重的一种黑客行为手段。利用系统或应用程序漏洞,黑客可以直接拿到系统权限,造成重大影响。例如:0day expolit。“零日漏洞”是指被发现后立即被恶意利用的安全漏洞,这种攻击利用厂商缺少防范意识或缺少补丁,从而能够造成巨大破坏。
“零日漏洞”常常被在某一产品或协议中找到安全漏洞的黑客所发现。一旦他们被发现,“零日漏洞”攻击就会迅速传播,一般通过Internet中继聊天或地下网站传播。虽然还没有出现大量的“零日漏洞”攻击,但其威胁日益增长,证据如下:黑客更加善于在发现安全漏洞不久后利用他们。过去,安全漏洞被利用一般需要几个月时间。最近,发现和利用之间的时间间隔已减少到了数天。
1.4
攻击者攻击目标时常常把破译用户的口令作为攻击的开始。只要攻击者能猜测或者确定用户的口令,他就能获得机器或者网络的访问权,并能访问到用户能访问到的任何资源。如果这个用户有域管理员或root用户权限,这是极其危险的。
对于网站服务器来说,主流的管理方式是采用远程管理,如Windows的3389服务(Terminal Services)、Telnet、SSH等。假如由于管理员安全意识的疏忽采用了弱口令作为远程登录系统的密码,则遭受到黑客的入侵机率将大大增加。如:穷举口令。
102010年10月2211拒绝服务攻击12网页挂马13网络扫描探测14口令攻击暴力破解穷举15网页篡改16漏洞攻击17注入攻击18跨站脚本攻击19病毒恶意代码攻击21拒绝服务攻击211发现手段212抑制和根除213恢复214跟进22网页挂马221发现手段222抑制和根除223恢复224跟进23网络扫描探测231发现手段232抑制和根除233恢复234跟进24口令攻击暴力破解穷举241发现手段242抑制和根除243恢复10244跟进1025网页篡改10251发现手段10252抑制和根除
2
2.1
2.1.1
通过入侵检测系统的告警事件发现
通过防火墙的报警日志发现
定时查看网络日志、网络连接表
通过利用网络流量监控管理系统,及时发现网络中的异常流量
对路由器网络连接情况进行人工审计(包括查看日志)
通过专用抗拒绝服务攻击设备发现当前网络遭受攻击的情况
2.1.2
拒绝服务攻击无法通过有效手段来杜绝和防御,但可以通过专用设备如:抗拒绝服务攻击系统提高当前系统的防护能力
通过部署专用设备,及时发现系统受到攻击的情况
2.2
2.2.1
人为检查和发现,人工审核网站程序源代码,包括群众举报
分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DoS攻击,从而成倍地提高拒绝服务攻击的威力。通常,攻击者使用一个偷窃帐号将DDoS主控程序安装在一个计算机上,在一个设定的时间主控程序将与大量代理程序通讯,代理程序已经被安装在Internet上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术,主控程序能在几秒钟内激活成百上千次代理程序的运行。
(3)主机服务器所在的局域网被黑客劫持:与(2)原理一样,黑客可通过ARP欺骗等形式对网站页面进行劫持,导致所有访问网站的来访者看到的是被篡改的页面,这也是最主要的网站被劫持手段。
通过上面的分析我们可以看到,(1)和(2)影响的其实仅仅是访问者本人和局域网的用户,他们看到的是被欺骗篡改的页面,而其它的外部访问者访问到的网站页面都是正常的,而(3)的问题就比较严重了,因为是主机服务器被欺骗,所有来访者看到的都将是被欺骗篡改的页面。
网站被劫持存在多种可能,主要是发生在访问者到网站主机的网络路径被中断并劫持,访问者看到的是被欺骗的页面,实际上网站的页面并没用被篡改,主要劫持途径有:
1)访问者的机器被木马病毒劫持:一旦访问者的机器被植入木马和病毒后,这些病毒可能会劫持浏览器,进而发送欺骗页面。
(2)访问者的局域网被黑客劫持:黑客通过ARP欺骗护控制网关机等形式对访问者的局域网进行劫持,并发送欺骗页面个访问者,造成网页被篡改的假象。
人们掌控的安全漏洞知识越来越多,就有越来越多的漏洞被发现和利用。因此,“零日漏洞”攻击成为多数企业的灾难。一般的企业使用防火墙、入侵检测系统和防病毒软件来保护关键业务IT基础设施。这些系统提供了良好的第一级保护,但是尽管安全人员尽了最大的努力,他们仍不能保护企业免遭受零天利用攻击。
1.7
随着B/S模式应用开发的发展,使用这种模式编写应用程序的程代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。
挂马的目的就是将木马传播出去,挂马只是一种手段。挂马使用的木马大致可以分为两类:一类是以远程控制为目的的木马,黑客使用这种木马进行挂马攻击,其目的是为了得到大量的肉鸡,以此对某些网站实施拒绝服务攻击或达到其他目的(目前绝大多数实施拒绝服务攻击的傀儡计算机都是挂马攻击的受害者)。另一类是键盘记录木马,我们通常称其为盗号木马,其目的不言而喻,都是冲着游戏帐号或者银行帐号来的。
1.9
从目前主流情况看来,一般所说的病毒除了传统意义上的不断复制自我的程序逐渐上升到与黑客技术和系统漏洞挂钩与相结合的蠕虫(恶意代码)。蠕虫(WORM)病毒是通过分布式网络来扩散特定的信息或错误的,进而造成网络服务器遭到拒绝并发生死锁。
蠕虫病毒由两部分组成:一个主程序和另一个是引导程序。主程序一旦在计算机中得到建立,就可以去收集与当前机器联网的其他机器的信息,它能通过读取公共配置文件并检测当前机器的联网状态信息,尝试利用系统的缺陷在远程机器上建立引导程序。就是这个一般被称作是引导程序或类似于钓鱼的小程序,把蠕虫病毒带入了它所感染的每一台机器中。
(2)通过密码猜测与破解获得管理员密码:黑客通过暴力或字典对正常的网络管理服务进行猜测破解,或者是设法获得管理员的密码加密串到本地进行暴力破解,一旦破解成功就获得了相应的管理权限,进而实施网页篡改。
(3)通过Web漏洞和设计缺陷进行攻击入侵:当前网站程序越来越复杂,越来越庞大,导致程序员疲于完成开发任务,而无力顾及设计和开发过程中需要注意的安全问题,进而导致程序中大量存在身份验证不严、存在SQL注入和跨站攻击及可未授权上传文件等严重安全隐患,此问题也是当前导致绝大多数网站网页被非法篡改的主要因素。
XSS和脚本注射的区别在于:(Script Injection)脚本插入攻击会把插入的脚本保存在被修改的远程WEB页面里,而跨站脚本是临时的,执行后就消失了。
主流脚本包括几种:HTML、JavaScript、VBScript、ActiveX、Flash……导致网站存在XSS漏洞的原因主要是许多cgi/php脚本执行时,如果它发现客户提交的请求页面并不存在或其他类型的错误时,出错信息会被打印到一个html文件,并将该错误页面发送给访问者。黑客通过对这些信息的判断,从而挖掘XSS漏洞。
系统应急预案
V1.0
2010年10月22日
目 录
1
1.1
DoS是Denial of Service的简称,即拒绝服务,造成DoS的攻击行为被称为DoS攻击,其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络,使得所有可用网络资源都被消耗殆尽,最后导致合法的用户请求就无法通过。连通性攻击指用大量的连接请求冲击计算机,使得所有可用的操作系统资源都被消耗殆尽,最终计算机无法再处理合法用户的请求。
通过对系统本身的有效配置和加固,以提高抗拒绝服务攻击的能力
通过对网络结构的优化,降低设备遭到攻击的可能性
2.1.3
遭受拒绝服务攻击不用重装系统和恢复数据
当系统遭受到攻击后,通过手工恢复系统网络连接表
2.1.4
做好数据备份,并定时人工审核系统日志,发现可疑的攻击行为
定时检查系统的网络连接情况,及时发现攻击
网站被入侵其实就等于攻击者可以在网站上进行未授权的写操作,进而造成了网页被篡改的事实,主要入侵途径有:
(1)通过网络服务漏洞进行缓存溢出获得主机控制权:黑客通过对IIS、RPC等存在的漏洞的网络服务进行缓冲溢出,执行未授权的代码和命令,在系统中直接添加管理员账号,从而控制了服务器主机,至此,篡改网站页面就是很简单的事情了。
SQL注入攻击的总体思路是:发现SQL注入位置;判断后台数据库类型;确定SHELL可执行情况;发现WEB虚拟目录;上传木马;得到管理员权限。
1.8
跨站脚本攻击也是基于CSS/XSS的攻击,是指在远程WEB页面的html代码中插入的具有恶意目的的数据,用户认为该页面是可信赖的,但是当浏览器下载该页面,嵌入其中的脚本将被解释执行,有时候跨站脚本被称为"XSS",这是因为"CSS"一般被称为分层样式表,这很容易让人困惑,如果提到CSS或者XSS安全漏洞,通常指得是跨站脚本。
1.2
网页挂马就是黑客入侵了一些网站后,将自己编写的网页木马嵌入被黑网站的主页中,利用被黑网站的流量将自己的网页木马传播开去,以达到自己不可告人的目的。例如很多游戏网站被挂马,黑客的目的就是盗取浏览该网站玩家的游戏账号,而那些大型网站被挂马,则是为了搜集大量的肉鸡。网站被挂马不仅会让自己的网站失去信誉,丢失大量客户,也会让普通用户陷入黑客设下的陷阱,沦为黑客的肉鸡。
在网络环境下,蠕虫病毒可以按指数增长模式进行传染。蠕虫病毒侵入计算机网络,可以导致计算机网络效率急剧下降、系统资源遭到严重破坏,短时间内造成网络系统的瘫痪。因此网络环境下蠕虫病毒防治必将成为计算机防毒领域的研究重点。
在网络环境中,蠕虫病毒具有一些新的特性:传染方式多、传播速度快、清除难度大、破坏性强。
另外,目前主流的网站都采用后台管理形式,如CMS。如果由于网站应用程序的问题或者管理员的疏忽设置了弱口令,则同样会面临黑客的口令攻击的威胁。如:暴力破解数据库密码、MD5、后台管理口令等。
1.5
作为面向整个互联网开放服务的网站所面临的安全威胁主要是主机服务器被入侵造成网页被篡改、数据被破坏等后果。从网站页面被篡改的角度来看,存在两种攻击的可能,一种是网站被入侵,也就是说网站页面确实被篡改了,另外一种是网站被劫持,这种情况下网站的页面实际上并没用被篡改,但是攻击者劫持了网络访问并发送欺骗页面给来访者,进而造成页面被篡改的表象。
蠕虫病毒程序能够常驻于一台或多台机器中,并有自动重新定位(autorelocation)的能力。假如它能够检测到网络中的某台机器没有被占用,它就把自身的一个拷贝(一个程序段)发送到那台机器。每个程序段都能把自身的拷贝重新定位于另一台机器上,并且能够识别出它自己所占用的哪台机器。
计算机网络系统的建立是为了使多台计算机能够共享数据资料和外部资源,然而也给计算机蠕虫病毒带来了更为有利的生存和传播的环境。
SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别,所以目前市面的防火墙都不会对SQL注入发出警报,如果管理员没查看IIS日志的习惯,可能被入侵很长时间都不会发觉。但是,SQL注入的手法相当灵活,在注入的时候会碰到很多意外的情况。能不能根据具体情况进行分析,构造巧妙的SQL语句,从而成功获取想要的数据。
1.3
扫描一个系统或者一个网络/网站,通常是为了发现这个被扫描的对象在提供哪些服务。目的是为了找出漏洞,进而实施攻击。如通过网络扫描探测,便可以得到当前服务器所运行的操作系统、WEB服务,或者邮件服务器、BIND、Telnet、FTP、RPC等详细信息和脆弱性。
目前主流的网络扫描探测的方法是:FIN扫描。FIN秘密扫描的工作原理就是向它的目的地一个根本不存在的连接发送FIN信息,如果这项服务没有开,那么目的地会响应一条错误信息,但如果是有这项服务,那么它将忽略这条消息。这样,扫描者的问题“你运行X吗”就有了答案,而且还不会在系统中有所记录。
1.6
漏洞攻击是对系统威胁较为严重的一种黑客行为手段。利用系统或应用程序漏洞,黑客可以直接拿到系统权限,造成重大影响。例如:0day expolit。“零日漏洞”是指被发现后立即被恶意利用的安全漏洞,这种攻击利用厂商缺少防范意识或缺少补丁,从而能够造成巨大破坏。
“零日漏洞”常常被在某一产品或协议中找到安全漏洞的黑客所发现。一旦他们被发现,“零日漏洞”攻击就会迅速传播,一般通过Internet中继聊天或地下网站传播。虽然还没有出现大量的“零日漏洞”攻击,但其威胁日益增长,证据如下:黑客更加善于在发现安全漏洞不久后利用他们。过去,安全漏洞被利用一般需要几个月时间。最近,发现和利用之间的时间间隔已减少到了数天。
1.4
攻击者攻击目标时常常把破译用户的口令作为攻击的开始。只要攻击者能猜测或者确定用户的口令,他就能获得机器或者网络的访问权,并能访问到用户能访问到的任何资源。如果这个用户有域管理员或root用户权限,这是极其危险的。
对于网站服务器来说,主流的管理方式是采用远程管理,如Windows的3389服务(Terminal Services)、Telnet、SSH等。假如由于管理员安全意识的疏忽采用了弱口令作为远程登录系统的密码,则遭受到黑客的入侵机率将大大增加。如:穷举口令。
102010年10月2211拒绝服务攻击12网页挂马13网络扫描探测14口令攻击暴力破解穷举15网页篡改16漏洞攻击17注入攻击18跨站脚本攻击19病毒恶意代码攻击21拒绝服务攻击211发现手段212抑制和根除213恢复214跟进22网页挂马221发现手段222抑制和根除223恢复224跟进23网络扫描探测231发现手段232抑制和根除233恢复234跟进24口令攻击暴力破解穷举241发现手段242抑制和根除243恢复10244跟进1025网页篡改10251发现手段10252抑制和根除
2
2.1
2.1.1
通过入侵检测系统的告警事件发现
通过防火墙的报警日志发现
定时查看网络日志、网络连接表
通过利用网络流量监控管理系统,及时发现网络中的异常流量
对路由器网络连接情况进行人工审计(包括查看日志)
通过专用抗拒绝服务攻击设备发现当前网络遭受攻击的情况
2.1.2
拒绝服务攻击无法通过有效手段来杜绝和防御,但可以通过专用设备如:抗拒绝服务攻击系统提高当前系统的防护能力
通过部署专用设备,及时发现系统受到攻击的情况
2.2
2.2.1
人为检查和发现,人工审核网站程序源代码,包括群众举报
分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DoS攻击,从而成倍地提高拒绝服务攻击的威力。通常,攻击者使用一个偷窃帐号将DDoS主控程序安装在一个计算机上,在一个设定的时间主控程序将与大量代理程序通讯,代理程序已经被安装在Internet上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术,主控程序能在几秒钟内激活成百上千次代理程序的运行。
(3)主机服务器所在的局域网被黑客劫持:与(2)原理一样,黑客可通过ARP欺骗等形式对网站页面进行劫持,导致所有访问网站的来访者看到的是被篡改的页面,这也是最主要的网站被劫持手段。
通过上面的分析我们可以看到,(1)和(2)影响的其实仅仅是访问者本人和局域网的用户,他们看到的是被欺骗篡改的页面,而其它的外部访问者访问到的网站页面都是正常的,而(3)的问题就比较严重了,因为是主机服务器被欺骗,所有来访者看到的都将是被欺骗篡改的页面。
网站被劫持存在多种可能,主要是发生在访问者到网站主机的网络路径被中断并劫持,访问者看到的是被欺骗的页面,实际上网站的页面并没用被篡改,主要劫持途径有:
1)访问者的机器被木马病毒劫持:一旦访问者的机器被植入木马和病毒后,这些病毒可能会劫持浏览器,进而发送欺骗页面。
(2)访问者的局域网被黑客劫持:黑客通过ARP欺骗护控制网关机等形式对访问者的局域网进行劫持,并发送欺骗页面个访问者,造成网页被篡改的假象。
人们掌控的安全漏洞知识越来越多,就有越来越多的漏洞被发现和利用。因此,“零日漏洞”攻击成为多数企业的灾难。一般的企业使用防火墙、入侵检测系统和防病毒软件来保护关键业务IT基础设施。这些系统提供了良好的第一级保护,但是尽管安全人员尽了最大的努力,他们仍不能保护企业免遭受零天利用攻击。
1.7
随着B/S模式应用开发的发展,使用这种模式编写应用程序的程代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。
挂马的目的就是将木马传播出去,挂马只是一种手段。挂马使用的木马大致可以分为两类:一类是以远程控制为目的的木马,黑客使用这种木马进行挂马攻击,其目的是为了得到大量的肉鸡,以此对某些网站实施拒绝服务攻击或达到其他目的(目前绝大多数实施拒绝服务攻击的傀儡计算机都是挂马攻击的受害者)。另一类是键盘记录木马,我们通常称其为盗号木马,其目的不言而喻,都是冲着游戏帐号或者银行帐号来的。
1.9
从目前主流情况看来,一般所说的病毒除了传统意义上的不断复制自我的程序逐渐上升到与黑客技术和系统漏洞挂钩与相结合的蠕虫(恶意代码)。蠕虫(WORM)病毒是通过分布式网络来扩散特定的信息或错误的,进而造成网络服务器遭到拒绝并发生死锁。
蠕虫病毒由两部分组成:一个主程序和另一个是引导程序。主程序一旦在计算机中得到建立,就可以去收集与当前机器联网的其他机器的信息,它能通过读取公共配置文件并检测当前机器的联网状态信息,尝试利用系统的缺陷在远程机器上建立引导程序。就是这个一般被称作是引导程序或类似于钓鱼的小程序,把蠕虫病毒带入了它所感染的每一台机器中。
(2)通过密码猜测与破解获得管理员密码:黑客通过暴力或字典对正常的网络管理服务进行猜测破解,或者是设法获得管理员的密码加密串到本地进行暴力破解,一旦破解成功就获得了相应的管理权限,进而实施网页篡改。
(3)通过Web漏洞和设计缺陷进行攻击入侵:当前网站程序越来越复杂,越来越庞大,导致程序员疲于完成开发任务,而无力顾及设计和开发过程中需要注意的安全问题,进而导致程序中大量存在身份验证不严、存在SQL注入和跨站攻击及可未授权上传文件等严重安全隐患,此问题也是当前导致绝大多数网站网页被非法篡改的主要因素。
XSS和脚本注射的区别在于:(Script Injection)脚本插入攻击会把插入的脚本保存在被修改的远程WEB页面里,而跨站脚本是临时的,执行后就消失了。
主流脚本包括几种:HTML、JavaScript、VBScript、ActiveX、Flash……导致网站存在XSS漏洞的原因主要是许多cgi/php脚本执行时,如果它发现客户提交的请求页面并不存在或其他类型的错误时,出错信息会被打印到一个html文件,并将该错误页面发送给访问者。黑客通过对这些信息的判断,从而挖掘XSS漏洞。
系统应急预案
V1.0
2010年10月22日
目 录
1
1.1
DoS是Denial of Service的简称,即拒绝服务,造成DoS的攻击行为被称为DoS攻击,其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络,使得所有可用网络资源都被消耗殆尽,最后导致合法的用户请求就无法通过。连通性攻击指用大量的连接请求冲击计算机,使得所有可用的操作系统资源都被消耗殆尽,最终计算机无法再处理合法用户的请求。
通过对系统本身的有效配置和加固,以提高抗拒绝服务攻击的能力
通过对网络结构的优化,降低设备遭到攻击的可能性
2.1.3
遭受拒绝服务攻击不用重装系统和恢复数据
当系统遭受到攻击后,通过手工恢复系统网络连接表
2.1.4
做好数据备份,并定时人工审核系统日志,发现可疑的攻击行为
定时检查系统的网络连接情况,及时发现攻击
网站被入侵其实就等于攻击者可以在网站上进行未授权的写操作,进而造成了网页被篡改的事实,主要入侵途径有:
(1)通过网络服务漏洞进行缓存溢出获得主机控制权:黑客通过对IIS、RPC等存在的漏洞的网络服务进行缓冲溢出,执行未授权的代码和命令,在系统中直接添加管理员账号,从而控制了服务器主机,至此,篡改网站页面就是很简单的事情了。
SQL注入攻击的总体思路是:发现SQL注入位置;判断后台数据库类型;确定SHELL可执行情况;发现WEB虚拟目录;上传木马;得到管理员权限。
1.8
跨站脚本攻击也是基于CSS/XSS的攻击,是指在远程WEB页面的html代码中插入的具有恶意目的的数据,用户认为该页面是可信赖的,但是当浏览器下载该页面,嵌入其中的脚本将被解释执行,有时候跨站脚本被称为"XSS",这是因为"CSS"一般被称为分层样式表,这很容易让人困惑,如果提到CSS或者XSS安全漏洞,通常指得是跨站脚本。
1.2
网页挂马就是黑客入侵了一些网站后,将自己编写的网页木马嵌入被黑网站的主页中,利用被黑网站的流量将自己的网页木马传播开去,以达到自己不可告人的目的。例如很多游戏网站被挂马,黑客的目的就是盗取浏览该网站玩家的游戏账号,而那些大型网站被挂马,则是为了搜集大量的肉鸡。网站被挂马不仅会让自己的网站失去信誉,丢失大量客户,也会让普通用户陷入黑客设下的陷阱,沦为黑客的肉鸡。
在网络环境下,蠕虫病毒可以按指数增长模式进行传染。蠕虫病毒侵入计算机网络,可以导致计算机网络效率急剧下降、系统资源遭到严重破坏,短时间内造成网络系统的瘫痪。因此网络环境下蠕虫病毒防治必将成为计算机防毒领域的研究重点。
在网络环境中,蠕虫病毒具有一些新的特性:传染方式多、传播速度快、清除难度大、破坏性强。
另外,目前主流的网站都采用后台管理形式,如CMS。如果由于网站应用程序的问题或者管理员的疏忽设置了弱口令,则同样会面临黑客的口令攻击的威胁。如:暴力破解数据库密码、MD5、后台管理口令等。
1.5
作为面向整个互联网开放服务的网站所面临的安全威胁主要是主机服务器被入侵造成网页被篡改、数据被破坏等后果。从网站页面被篡改的角度来看,存在两种攻击的可能,一种是网站被入侵,也就是说网站页面确实被篡改了,另外一种是网站被劫持,这种情况下网站的页面实际上并没用被篡改,但是攻击者劫持了网络访问并发送欺骗页面给来访者,进而造成页面被篡改的表象。
蠕虫病毒程序能够常驻于一台或多台机器中,并有自动重新定位(autorelocation)的能力。假如它能够检测到网络中的某台机器没有被占用,它就把自身的一个拷贝(一个程序段)发送到那台机器。每个程序段都能把自身的拷贝重新定位于另一台机器上,并且能够识别出它自己所占用的哪台机器。
计算机网络系统的建立是为了使多台计算机能够共享数据资料和外部资源,然而也给计算机蠕虫病毒带来了更为有利的生存和传播的环境。
SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别,所以目前市面的防火墙都不会对SQL注入发出警报,如果管理员没查看IIS日志的习惯,可能被入侵很长时间都不会发觉。但是,SQL注入的手法相当灵活,在注入的时候会碰到很多意外的情况。能不能根据具体情况进行分析,构造巧妙的SQL语句,从而成功获取想要的数据。
1.3
扫描一个系统或者一个网络/网站,通常是为了发现这个被扫描的对象在提供哪些服务。目的是为了找出漏洞,进而实施攻击。如通过网络扫描探测,便可以得到当前服务器所运行的操作系统、WEB服务,或者邮件服务器、BIND、Telnet、FTP、RPC等详细信息和脆弱性。
目前主流的网络扫描探测的方法是:FIN扫描。FIN秘密扫描的工作原理就是向它的目的地一个根本不存在的连接发送FIN信息,如果这项服务没有开,那么目的地会响应一条错误信息,但如果是有这项服务,那么它将忽略这条消息。这样,扫描者的问题“你运行X吗”就有了答案,而且还不会在系统中有所记录。