校园网站风险评估综述
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
例1:某大学分析测试中心后台管理系统存在表单绕过漏洞,可直接获取后台管理权限。
4.3多层防护系统建设
网站系统基本的组成为网站代码和后台数据,在系统结构方面由WEB服务器和数据库服务器构成,所以安全关注方面应该涵盖WEB服务器的安全及数据库服务器的安全。
从整体的应用安全防护角度出发,通过网站的整体安全检测、主动防御、监控审计三部分的全面部署,是网站系统的应用安全配置达到比较高的水平,促使网站系统运行在比较安全的应用环境。
(4)时效性
必须及时使用Βιβλιοθήκη Baidu息安全风险评估的结果,过期则可能出现失效而无法使用,失去风险评估的作用和意义。
(5)主观与客观继集成性
信息安全风险评估是主管假设和判断与客观情况和数据的结合
(6)目的性
信息安全风险评估的最终目的是为信息安全管理决策和控制措施的实施提供支持。
计算机安全的模型包含4个主要部分:
策略安全、检测、防护和响应。防护、检测和响应组成了一个完整的、动态的安全循环,在安全策略的整体指导下保证信息系统的安全。
风险评估主要属于检测范畴,用它找出系统的漏洞,做好防护并为制定安全策略提供指导性意见。校园网服务对象是全体师生,而学生又是最为活跃的群体,因此在校园网中的信息安全更为突出。新的安全漏洞不断出现,黑客的攻击手法不断翻新,而校园数据中心自身的情况也在不断地发展变化,在完成网站安全防范体系的架设后,必须不断对此网站进行风险评估,及时地维护和更新,才能保证网站的安全。
所以,总的来说,信息安全风险评估的意义在于为用户提供具有针对性的安全产品和安全技术。给用户提供量化的信息资产价值列表和资产风险列表。可全面和有条理地向管理层反映现有的信息科技安全风险和所需的安全保障措施。为决策和政策考虑提供不同的解决方案,使信息科技安全管理能够从策略性的层面推行。为日后比较信息科技安全措施的变化提供依据。
1.1信息安全风险评估的基本意义
信息系统的安全风险是指由于系统存在的脆弱性,人为或自然的威胁导致安全事件发生的可能性及其造成的影响。
信息安全风险评估就是从风险管理角度,运用科学的分析方法和手段,系统地分析信息化业务和信息系统所面临的人为和自然的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施,以防范和化解风险,或者将残余风险控制在可接受的水平,从而最大限度地保障网络与信息安全。
确定方法
应考虑评估的范围、目的、时间、效果、组织文化、人员素质以及具体开展的程度等因素来确定,使之能够与组织的环境和安全要求相适应。
获得最高管理者批准
上述所有内容应得到组织的最高管理者的批准,并对管理层和员工进行传达。
二.校园网站存在风险的原因
校园网站由于以下自身的特点,导致安全问题比较突出。
(1校园网站有的是隶属于学校的,有的是隶属于某一学院的,有的是属于某一社团组织的,管理情况非常复杂。用作网站服务器的计算机,有的院系是由技术人员负责维护的,有些院系则没有专人维护,服务器系统建设完毕之后无人管理,甚至被攻击者攻破作为攻击的跳板,变成攻击者的温床也无人觉察。
XSS漏洞很容易在学校WEB应用系统中发现。XSS漏洞攻击是最为常见的基于WEB应用系统漏洞,面向客户端的攻击手段。
3.表单绕过攻击
WEB网站采用表单来收集访问者的用户名和密码以确认其是否具有足够权限访问某些保密信息,然后该表单被发送到Web服务器进行处理。接下来,服务器端ASP脚本根据表单提供的信息生成SQL指令语句提交到SQL服务器,并通过分析SQL服务器的返回结果来判断该用户名/密码组合是否有效。表单绕过攻击就是指利用表单存在的安全漏洞,通过构造一些畸形的特殊提交语句,绕过表单安全认证的一种攻击手段。
《信息安全工程》
课
程
设
计
班级:0430801
学号:08490108
姓名:孔伟栋
校园网站风险评估综述
对于校园网站而言,解决信息安全的关键就是明白网站面临的风险所在。利用风险评估来识别可能存在的风险和威胁,对暴露出的问题进行有针对性的防护,这样才能保证校园网站稳定高效地为师生服务。
一.信息风险评估的特点和意义
1.2风险评估的基本特点:
(1)决策支持性
所有的安全风险评估都是旨在为安全管理提供支持和服务,无论它发生在系统生命周期的哪个阶段,所不同的只在于其支持的管理决策阶段和内容。
(2)比较分析性
对信息安全管理和运营的各种安全方案进行比较,对各种情况下的技术、经济投入和结果进行分析、权衡。
(3)前提假设性
在风险评估中所使用的各种评估数据有两种,一是系统既定事实的描述数据;而是根据系统各种假设前提条件确定的预测数据。不管发生在系统生命周期的哪个阶段,在评估的时候,人们都必须对尚未确定的各种情况做出必要的假设,然后确定相应的预测数据,并据此作出系统的风险评估。没有哪个风险评估不需要给定假设前提条件,隐词信息安全风险评估具有前提假设性这一基本特征。
1.3风险评估的准备
确定范围
范围可能是组织全部的信息和信息系统,可能是单独的信息系统,可能是组织的关键业务流程,也可能是客户的知识产权。
确定目标
目标基本上来源于组织业务持续发展的需要、满足相关方的要求、满足法律法规的要求等方面。
确定组织结构
组织结构的建立应考虑其结构和复杂程度,以保证能够满足风险评估的范围、目标。
(3破坏数据的完整性,指使用非法手段删除、修改、重发某些重要信息,以干扰用户的正常使用。
(4系统漏洞是威胁校园网安全的长期因素。系统漏洞主要是指系统本身存在的、在设计时并没有考虑到的缺陷或弊端。由于系统漏洞存在的长期性,导致针对漏洞的网络安全问题也将是长期的,持久的。
(5应用系统的错误配置是影响网络服务安全的主要因素。应用系统是网络中主要服务提供者,因此其安全问题的产生也将会直接影响网络服务的正常运行。
主动防御由网站防攻击子系统、网站防篡改子系统共同来完成。防攻击子系统通过实时检测和分析所有的访问请求,识别各类恶意访问和攻击,实行阻断且快速报警,并形成日志。通过防篡改子系统的防护,可以保护网站相关页面不被篡改,杜绝非法内容的外流,防止由于网页篡改给单位带来的形象上及经济上的损失。
监控审计通过网站应用安全审计子系统、网站数据库安全审计子系统实现。网站应用安全审计子系统平台通过深度检测所有的HTTP访问数据,实现对网站访问进行7x24小时实时监控,通过系统可以一目了了的了解网站被访问的情况,一旦检测到异常访问和攻击行为,系统会及时报警,并且以各种方式通知网站维护员,从而可以在第一时间采取相关安全应急措施。系统的日志功能,为安全审计提供了基础,日志信息包括详细的访问信息及访问内容,为对各类攻击及异常访问的完整追溯提供了基础。网站数据库安全审计子系统能够检视所有的针对数据库服务器的访问,除了日常的SQL,还包括通过等其他的访问方式,可以实现后台数据库运行可视化、日常操作可监控、危险操作可控制、所有行为可审计、安全事件可追溯。
信息安全建设都应该是基于信息安全风险评估,只有在正确地、全面地理解风险后,才能在控制风险、减少风险、转移风险之间作出正确的判断,决定调动多少资源、以什么的代价、采取什么样的应对措施去化解、控制风险。
3.信息安全风险评估是需求主导和突出重点原则的具体体现
说信息安全建设必须从实际出发,坚持需求主导、突出重点,则风险评估(需求分析)就是这一原则在实际工作中的重要体现。从理论上讲风险总是客观存在的。安全是安全风险与安全建设管理代价的综合平衡。
(3校园网与互联网相联。校园网站一般都能被公网用户访问(特殊资源除外),所以校园网站面临着外网攻击和来自内网攻击的双重安全威胁。
三.校园网站的安全威胁
据统计,网受到的内部攻击比外部攻击多,根据攻击类型,校园网受到的威胁主要有:
(1非授权访问,指对网络设备及信息资源进行非正常使用或越权使用等。
(2冒充合法用户,主要指利用各种假冒或欺骗的手段非法获得合法用户的使用权限,以达到占用合法用户资源的目的。
风险评估的重要意义:
1.风险评估是分析确定风险的过程
系统的安全性都可以通过风险的大小来衡量。科学分析系统的安全风险,综合平衡风险和代价的过程就是风险评估。
2.信息安全风险评估是信息安全建设的起点和基础
安全风险评估是风险评估理论和方法在信息系统中的运用,是科学分析理解信息和信息系统在机密性、完整性、可用性等方面所面临的风险,并在风险的预防、风险的控制、风险的转移、风险的补偿、风险的分散等之间作出决策的过程。
4.重视风险评估是信息化比较发达国家的基本经验
上个世纪70年代,美国政府就发布了《自动化数据外理风险评估指南》。其后颁布的关于信息安全基本政策文件《联邦信息资源安全》明确提出了信息安全风险评估的要求,要求联邦政府部门依据信息和信息系统所面临的风险,根据信息丢失、滥用、泄露、未授权访问等造成损失的大小,制订、实施信息安全计划,以保证信息和信息系统应有的安全。
主要攻击类型:
安全弱点:
主要的漏洞攻击:
1.SQL注入攻击
注入漏洞的产生原因是网站程序在编写时,没有对用户输入数据的合法性进行判断,导致应用程序存在安全隐患。SQL注入漏洞攻击就是是利用现有应用程序没有对用户输入数据的合法性进行判断,将恶意的SQL命令注入到后台数据库引擎执行的黑客攻击手段。
SQL注入攻击技术就本质而言,它利用的工具是SQL的语法,针对的是应用程序开发者编程中的漏洞,当攻击者能操作数据,向应用程序中插入一些SQL语句时,SQL Injection攻击就发生了。
所以整体多层防护系统由网站WEB应用弱点扫描子系统、网站防攻击子系统、网站防篡改子系统、网站应用安全审计子系统、网站数据库弱点扫描子系统、网站数据库安全审计子系统总共7大子系统构成,从各个层面和各个角度为网站系统建立立体防御体系。
网站的整体安全检测由网站WEB应用弱点扫描子系统和数据库弱点扫描子系统来完成。首先由网站WEB应用弱点扫描子系统通过扫描,快速检测网站可能存在的SQL注入、跨站脚本、表单绕过、Cookie注入、程序后门等应用弱点,根据检测结果能够针对性的采取有效的安全加固措施。通过数据库弱点扫描子系统能够有效检测作为网站后台支撑的数据库系统,快速识别数据库系统存在的补丁状况、弱配置状况等安全隐患,通过有效应对,尽可能防范通过各种途径对后台数据的入侵。
(6搭建网站所用软件自身存在着漏洞也是主要的安全威胁。在目前的校园网站中的Web服务器无论是IIS,还是Apache,或多或少都存在着安全漏洞,正是因为软件安全漏洞的存在,使得校园网站的安全受到极大的威胁。
(7数据缺乏必要的备份,数据是整个网络的核心,网站里面存储的重要的数据、档案或历史纪录,不论是对学校,还是对个人用户,都是至关重要的,一旦不慎丢失或是被恶意篡改、删除,都会造成严重的损失。如果没有完善的备份机制,有些数据是根本无法重建的。令人担忧的是大多数的校园网站并没有做好数据备份工作。
跨站脚本漏洞攻击不是对服务器的实际攻击,而是利用服务器把访问该站点的用户作为攻击目标。当用户浏览该页之时,嵌入其中WEB里面的HTML代码会被执行,从而达到恶意用户的特殊目的,如获取其他用户Cookie中的敏感数据、屏蔽页面特定信息、伪造页面信息、拒绝服务攻击、突破外网内网不同安全设置、与其它漏洞结合,修改系统设置,查看系统文件,执行系统命令等。
(2大学生通常是最活跃的网络用户,对网络新技术充满好奇,勇于尝试。如果没有意识到后果的严重性,有些学生会尝试使用网上学到的、甚至自己研究的各种攻击技术,而他们首先所想到的目标很可能就是校内网站,一方面由于校园网服务器存储大量信息,例如学生档案、成绩、作业、考卷等,这些数据对于学生来说很有诱惑力;一方面学生对校园网站比较熟悉,易于使用社会工程学,有些攻击者甚至就是网站的建设者。
实际上,SQL注入攻击是存在于常见的多连接的应用程序中的一种漏洞,攻击者通过在应用程序预先定义好的查询语句结尾加上额外的SQL语句元素,欺骗数据库服务器执行非授权的任意查询。
2.XSS跨站攻击
跨站脚本攻击简称为XSS又叫CSS (Cross Site Script Execution),是指服务器端的CGI程序没有对用户提交的变量中的HTML代码进行有效的过滤或转换,允许攻击者往WEB页面里插入对终端用户造成影响或损失的HTML代码。
4.3多层防护系统建设
网站系统基本的组成为网站代码和后台数据,在系统结构方面由WEB服务器和数据库服务器构成,所以安全关注方面应该涵盖WEB服务器的安全及数据库服务器的安全。
从整体的应用安全防护角度出发,通过网站的整体安全检测、主动防御、监控审计三部分的全面部署,是网站系统的应用安全配置达到比较高的水平,促使网站系统运行在比较安全的应用环境。
(4)时效性
必须及时使用Βιβλιοθήκη Baidu息安全风险评估的结果,过期则可能出现失效而无法使用,失去风险评估的作用和意义。
(5)主观与客观继集成性
信息安全风险评估是主管假设和判断与客观情况和数据的结合
(6)目的性
信息安全风险评估的最终目的是为信息安全管理决策和控制措施的实施提供支持。
计算机安全的模型包含4个主要部分:
策略安全、检测、防护和响应。防护、检测和响应组成了一个完整的、动态的安全循环,在安全策略的整体指导下保证信息系统的安全。
风险评估主要属于检测范畴,用它找出系统的漏洞,做好防护并为制定安全策略提供指导性意见。校园网服务对象是全体师生,而学生又是最为活跃的群体,因此在校园网中的信息安全更为突出。新的安全漏洞不断出现,黑客的攻击手法不断翻新,而校园数据中心自身的情况也在不断地发展变化,在完成网站安全防范体系的架设后,必须不断对此网站进行风险评估,及时地维护和更新,才能保证网站的安全。
所以,总的来说,信息安全风险评估的意义在于为用户提供具有针对性的安全产品和安全技术。给用户提供量化的信息资产价值列表和资产风险列表。可全面和有条理地向管理层反映现有的信息科技安全风险和所需的安全保障措施。为决策和政策考虑提供不同的解决方案,使信息科技安全管理能够从策略性的层面推行。为日后比较信息科技安全措施的变化提供依据。
1.1信息安全风险评估的基本意义
信息系统的安全风险是指由于系统存在的脆弱性,人为或自然的威胁导致安全事件发生的可能性及其造成的影响。
信息安全风险评估就是从风险管理角度,运用科学的分析方法和手段,系统地分析信息化业务和信息系统所面临的人为和自然的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施,以防范和化解风险,或者将残余风险控制在可接受的水平,从而最大限度地保障网络与信息安全。
确定方法
应考虑评估的范围、目的、时间、效果、组织文化、人员素质以及具体开展的程度等因素来确定,使之能够与组织的环境和安全要求相适应。
获得最高管理者批准
上述所有内容应得到组织的最高管理者的批准,并对管理层和员工进行传达。
二.校园网站存在风险的原因
校园网站由于以下自身的特点,导致安全问题比较突出。
(1校园网站有的是隶属于学校的,有的是隶属于某一学院的,有的是属于某一社团组织的,管理情况非常复杂。用作网站服务器的计算机,有的院系是由技术人员负责维护的,有些院系则没有专人维护,服务器系统建设完毕之后无人管理,甚至被攻击者攻破作为攻击的跳板,变成攻击者的温床也无人觉察。
XSS漏洞很容易在学校WEB应用系统中发现。XSS漏洞攻击是最为常见的基于WEB应用系统漏洞,面向客户端的攻击手段。
3.表单绕过攻击
WEB网站采用表单来收集访问者的用户名和密码以确认其是否具有足够权限访问某些保密信息,然后该表单被发送到Web服务器进行处理。接下来,服务器端ASP脚本根据表单提供的信息生成SQL指令语句提交到SQL服务器,并通过分析SQL服务器的返回结果来判断该用户名/密码组合是否有效。表单绕过攻击就是指利用表单存在的安全漏洞,通过构造一些畸形的特殊提交语句,绕过表单安全认证的一种攻击手段。
《信息安全工程》
课
程
设
计
班级:0430801
学号:08490108
姓名:孔伟栋
校园网站风险评估综述
对于校园网站而言,解决信息安全的关键就是明白网站面临的风险所在。利用风险评估来识别可能存在的风险和威胁,对暴露出的问题进行有针对性的防护,这样才能保证校园网站稳定高效地为师生服务。
一.信息风险评估的特点和意义
1.2风险评估的基本特点:
(1)决策支持性
所有的安全风险评估都是旨在为安全管理提供支持和服务,无论它发生在系统生命周期的哪个阶段,所不同的只在于其支持的管理决策阶段和内容。
(2)比较分析性
对信息安全管理和运营的各种安全方案进行比较,对各种情况下的技术、经济投入和结果进行分析、权衡。
(3)前提假设性
在风险评估中所使用的各种评估数据有两种,一是系统既定事实的描述数据;而是根据系统各种假设前提条件确定的预测数据。不管发生在系统生命周期的哪个阶段,在评估的时候,人们都必须对尚未确定的各种情况做出必要的假设,然后确定相应的预测数据,并据此作出系统的风险评估。没有哪个风险评估不需要给定假设前提条件,隐词信息安全风险评估具有前提假设性这一基本特征。
1.3风险评估的准备
确定范围
范围可能是组织全部的信息和信息系统,可能是单独的信息系统,可能是组织的关键业务流程,也可能是客户的知识产权。
确定目标
目标基本上来源于组织业务持续发展的需要、满足相关方的要求、满足法律法规的要求等方面。
确定组织结构
组织结构的建立应考虑其结构和复杂程度,以保证能够满足风险评估的范围、目标。
(3破坏数据的完整性,指使用非法手段删除、修改、重发某些重要信息,以干扰用户的正常使用。
(4系统漏洞是威胁校园网安全的长期因素。系统漏洞主要是指系统本身存在的、在设计时并没有考虑到的缺陷或弊端。由于系统漏洞存在的长期性,导致针对漏洞的网络安全问题也将是长期的,持久的。
(5应用系统的错误配置是影响网络服务安全的主要因素。应用系统是网络中主要服务提供者,因此其安全问题的产生也将会直接影响网络服务的正常运行。
主动防御由网站防攻击子系统、网站防篡改子系统共同来完成。防攻击子系统通过实时检测和分析所有的访问请求,识别各类恶意访问和攻击,实行阻断且快速报警,并形成日志。通过防篡改子系统的防护,可以保护网站相关页面不被篡改,杜绝非法内容的外流,防止由于网页篡改给单位带来的形象上及经济上的损失。
监控审计通过网站应用安全审计子系统、网站数据库安全审计子系统实现。网站应用安全审计子系统平台通过深度检测所有的HTTP访问数据,实现对网站访问进行7x24小时实时监控,通过系统可以一目了了的了解网站被访问的情况,一旦检测到异常访问和攻击行为,系统会及时报警,并且以各种方式通知网站维护员,从而可以在第一时间采取相关安全应急措施。系统的日志功能,为安全审计提供了基础,日志信息包括详细的访问信息及访问内容,为对各类攻击及异常访问的完整追溯提供了基础。网站数据库安全审计子系统能够检视所有的针对数据库服务器的访问,除了日常的SQL,还包括通过等其他的访问方式,可以实现后台数据库运行可视化、日常操作可监控、危险操作可控制、所有行为可审计、安全事件可追溯。
信息安全建设都应该是基于信息安全风险评估,只有在正确地、全面地理解风险后,才能在控制风险、减少风险、转移风险之间作出正确的判断,决定调动多少资源、以什么的代价、采取什么样的应对措施去化解、控制风险。
3.信息安全风险评估是需求主导和突出重点原则的具体体现
说信息安全建设必须从实际出发,坚持需求主导、突出重点,则风险评估(需求分析)就是这一原则在实际工作中的重要体现。从理论上讲风险总是客观存在的。安全是安全风险与安全建设管理代价的综合平衡。
(3校园网与互联网相联。校园网站一般都能被公网用户访问(特殊资源除外),所以校园网站面临着外网攻击和来自内网攻击的双重安全威胁。
三.校园网站的安全威胁
据统计,网受到的内部攻击比外部攻击多,根据攻击类型,校园网受到的威胁主要有:
(1非授权访问,指对网络设备及信息资源进行非正常使用或越权使用等。
(2冒充合法用户,主要指利用各种假冒或欺骗的手段非法获得合法用户的使用权限,以达到占用合法用户资源的目的。
风险评估的重要意义:
1.风险评估是分析确定风险的过程
系统的安全性都可以通过风险的大小来衡量。科学分析系统的安全风险,综合平衡风险和代价的过程就是风险评估。
2.信息安全风险评估是信息安全建设的起点和基础
安全风险评估是风险评估理论和方法在信息系统中的运用,是科学分析理解信息和信息系统在机密性、完整性、可用性等方面所面临的风险,并在风险的预防、风险的控制、风险的转移、风险的补偿、风险的分散等之间作出决策的过程。
4.重视风险评估是信息化比较发达国家的基本经验
上个世纪70年代,美国政府就发布了《自动化数据外理风险评估指南》。其后颁布的关于信息安全基本政策文件《联邦信息资源安全》明确提出了信息安全风险评估的要求,要求联邦政府部门依据信息和信息系统所面临的风险,根据信息丢失、滥用、泄露、未授权访问等造成损失的大小,制订、实施信息安全计划,以保证信息和信息系统应有的安全。
主要攻击类型:
安全弱点:
主要的漏洞攻击:
1.SQL注入攻击
注入漏洞的产生原因是网站程序在编写时,没有对用户输入数据的合法性进行判断,导致应用程序存在安全隐患。SQL注入漏洞攻击就是是利用现有应用程序没有对用户输入数据的合法性进行判断,将恶意的SQL命令注入到后台数据库引擎执行的黑客攻击手段。
SQL注入攻击技术就本质而言,它利用的工具是SQL的语法,针对的是应用程序开发者编程中的漏洞,当攻击者能操作数据,向应用程序中插入一些SQL语句时,SQL Injection攻击就发生了。
所以整体多层防护系统由网站WEB应用弱点扫描子系统、网站防攻击子系统、网站防篡改子系统、网站应用安全审计子系统、网站数据库弱点扫描子系统、网站数据库安全审计子系统总共7大子系统构成,从各个层面和各个角度为网站系统建立立体防御体系。
网站的整体安全检测由网站WEB应用弱点扫描子系统和数据库弱点扫描子系统来完成。首先由网站WEB应用弱点扫描子系统通过扫描,快速检测网站可能存在的SQL注入、跨站脚本、表单绕过、Cookie注入、程序后门等应用弱点,根据检测结果能够针对性的采取有效的安全加固措施。通过数据库弱点扫描子系统能够有效检测作为网站后台支撑的数据库系统,快速识别数据库系统存在的补丁状况、弱配置状况等安全隐患,通过有效应对,尽可能防范通过各种途径对后台数据的入侵。
(6搭建网站所用软件自身存在着漏洞也是主要的安全威胁。在目前的校园网站中的Web服务器无论是IIS,还是Apache,或多或少都存在着安全漏洞,正是因为软件安全漏洞的存在,使得校园网站的安全受到极大的威胁。
(7数据缺乏必要的备份,数据是整个网络的核心,网站里面存储的重要的数据、档案或历史纪录,不论是对学校,还是对个人用户,都是至关重要的,一旦不慎丢失或是被恶意篡改、删除,都会造成严重的损失。如果没有完善的备份机制,有些数据是根本无法重建的。令人担忧的是大多数的校园网站并没有做好数据备份工作。
跨站脚本漏洞攻击不是对服务器的实际攻击,而是利用服务器把访问该站点的用户作为攻击目标。当用户浏览该页之时,嵌入其中WEB里面的HTML代码会被执行,从而达到恶意用户的特殊目的,如获取其他用户Cookie中的敏感数据、屏蔽页面特定信息、伪造页面信息、拒绝服务攻击、突破外网内网不同安全设置、与其它漏洞结合,修改系统设置,查看系统文件,执行系统命令等。
(2大学生通常是最活跃的网络用户,对网络新技术充满好奇,勇于尝试。如果没有意识到后果的严重性,有些学生会尝试使用网上学到的、甚至自己研究的各种攻击技术,而他们首先所想到的目标很可能就是校内网站,一方面由于校园网服务器存储大量信息,例如学生档案、成绩、作业、考卷等,这些数据对于学生来说很有诱惑力;一方面学生对校园网站比较熟悉,易于使用社会工程学,有些攻击者甚至就是网站的建设者。
实际上,SQL注入攻击是存在于常见的多连接的应用程序中的一种漏洞,攻击者通过在应用程序预先定义好的查询语句结尾加上额外的SQL语句元素,欺骗数据库服务器执行非授权的任意查询。
2.XSS跨站攻击
跨站脚本攻击简称为XSS又叫CSS (Cross Site Script Execution),是指服务器端的CGI程序没有对用户提交的变量中的HTML代码进行有效的过滤或转换,允许攻击者往WEB页面里插入对终端用户造成影响或损失的HTML代码。