黑客攻防从入门到精通(Web技术实战篇)
上QQ阅读APP看书,第一时间看更新

第3章
对Web应用程序入侵及防范技术

目前很多业务都依赖于互联网,如网上银行、网络购物、网游等,很多恶意攻击者出于不良的目的对Web应用程序进行攻击,想方设法通过各种手段获取他人的个人账户信息谋取利益。正是因为这样,Web应用程序最容易遭受攻击。

一方面,由于TCP/IP的设计没有考虑安全问题,这使得在网络上传输的数据没有任何安全防护。攻击者可以利用系统漏洞造成系统进程缓冲区溢出,攻击者可能获得或者提升自己在有漏洞的系统上的用户权限来运行任意程序,甚至安装和运行恶意代码,窃取机密数据。而应用层面的软件在开发过程中也没有过多考虑安全的问题,这使得程序本身存在很多漏洞,诸如缓冲区溢出、SQL注入等流行的应用层攻击,这些均属于在软件研发过程中疏忽了对安全的考虑所致。

另一方面,用户对某些隐秘的东西带有强烈的好奇心,一些利用木马或病毒程序进行攻击的攻击者,往往就是利用了用户的这种好奇心理,将木马或病毒程序捆绑在一些艳丽的图片、音视频及免费软件等文件中,然后把这些文件置于某些网站当中,再引诱用户去单击或下载运行。或者通过电子邮件附件和QQ、微信等即时聊天软件,将这些捆绑了木马或病毒的文件发送给用户,利用用户的好奇心理引诱用户打开或运行这些文件。

同时,对Web应用程序的攻击也可以说是形形色色、种类繁多,常见的有metasploit攻击、欺骗攻击、缓冲区溢出、嗅探、利用IIS等针对Web Server漏洞进行攻击等。我们只有做到“知己知彼”,才能“防患于未然”。