网站主要漏洞及解决方法参考指南
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网站主要漏洞及解决方法参考指南
近期,黑客恶意攻击事件频发,其主要利用肉鸡、跳板隐藏攻击源对网站进行发散式攻击,在获取网站控制权后,预埋后门程序,定期进行攻击篡改,安全风险不容忽视。
一、黑客组织攻击网站的主要手法
经对黑客攻击使用的漏洞进行分析,均属于常见公开漏洞,漏洞利用程序可从网上下载获得,且操作简单。主要有以下四种常见手法。
(一)利用Struts2框架漏洞入侵服务器实施攻击。2013年6月底,“阿帕奇”开源社区发布了用于搭建网站的应用框架“Strut s”第2版本,该版本存在安全漏洞。攻击者利用这些漏洞远程执行了网站服务器系统命令,获取了服务器控制权,进而可直接对网站页面实施篡改。由于该权限较高,攻击者可在服务器上留有“后门”,即使网站重新搭建,还可利用服务器“后门”恢复网站控制权。
(二)利用SQL注入类漏洞实施攻击。网站使用了带有缺陷的程序对数据库进行操作,攻击者利用这些漏洞,精心构造数据库访问命令,获取网站后台控制权,提交隐秘包含可修改数据库数据的恶意程序,进而对网页实施篡改。
(三)利用网页编辑器类漏洞实施攻击。部分网站为方便用
1
户在网页内排版图文,专门安装了FCKeditor、eWebEditor等网页编辑程序,部分低版本的程序存在安全漏洞。攻击者利用这些漏洞,在攻击过程中修改了网站登录口令,从而向网站上传携带攻击程序的文件,并激活执行,获取网站后台管理权,进而实施网页篡改行为。
(四)利用网站模板类漏洞实施攻击。部分网站使用了DeD eCMS、KesionCMS、qiboCMS等模板进行网站建设,这些模板中的低版本均存在不同程度的程序设计缺陷。攻击者利用这些漏洞,修改网站默认管理员登录口令,提交具备操作修改网站页面功能的恶意程序,进而获取网站系统管理权,实施网页篡改行为。
二、常见漏洞的解决办法
对于常见的系统和软件漏洞,可以在互联网上下载网站漏洞扫描工具进行安全检测和扫描,一般的扫描工具均可以发现S truts2、SQL注入等常见安全漏洞。常见漏洞的修复方法也比较简单,可通过系统的软件升级,更新程序等方法进行解决。以下介绍了常见的解决办法,供参考。
(一)Struts2漏洞解决办法。到官网下载最新的jar包进行升级。
(二)SQL注入类漏洞攻击的检测方式。SQL注入漏洞攻击检测分为入侵前的检测和入侵后的检测。入侵前的检测,可以通过手工方法,也可以利用SQL注入类漏洞扫描工具软件。检测的目的是为预防SQL注入漏洞攻击。入侵后的检测,主要是针
2
对审计日志的查看,SQL注入漏洞攻击成功后,会在Web Serv ice和数据库的审计日志中留下痕迹。
检测方式主要有:动态SQL检查、有效性校验、数据表检查、审计日志检查、攻击后检测。
(三)SQL注入类漏洞攻击防范措施。SQL注入漏洞攻击的防范方法有很多种,根据网上资源整理,主要有:数据有效性校验、封装数据信息、去除代码中的敏感信息、替换或删除单引号、指定错误返回页面、限制SQL字符串连接的配置文件、设置W eb目录的访问权限、最小服务原则、鉴别信息加密存储、用户权限分离。
二〇一五年十月
3