國內(nèi)對滲透測試以及安全評估的研究起步較晚,并且大多集中在在滲透測試技術(shù)上的研究,安全評估方面也有部分企業(yè)和研宄團體具有系統(tǒng)的評估方式。然而國內(nèi)對基于滲透測試的自動化集成系統(tǒng)研宄還非常少,從目前的網(wǎng)絡(luò)安全態(tài)勢來看,傳統(tǒng)的滲透測試方式己經(jīng)無法滿足現(xiàn)在網(wǎng)站對安全性能的要求,傳統(tǒng)的滲透測試技術(shù)和工具都還停留在運用單一滲透測試方法或是單種測試工具,無法全面檢測出網(wǎng)站系統(tǒng)存在的漏洞。
目前國內(nèi)外使用比較普遍的攻擊方法主要有三種:
(1)跨站腳本:一般縮寫為XSS。這個漏洞是由于攻擊者通過終端向應(yīng)用程序提交數(shù)據(jù),數(shù)據(jù)上傳至服務(wù)器的過程中沒有對提交的數(shù)據(jù)進行嚴(yán)格審核和檢查,導(dǎo)致正常用戶運行應(yīng)用程序時啟動了惡意攻擊者嵌入程序中的代碼,大量用戶被攻擊。攻擊者不僅可以竊取用戶和系統(tǒng)管理員的cookie,還可以進行掛馬操作,使更多的訪問用戶被惡意代碼攻擊。在如今網(wǎng)站各項技術(shù)非常普及的情況下,蠕蟲也有可能能利用跨站腳本存在的漏洞,對網(wǎng)站進行大規(guī)模攻擊,造成極大危害。
(2)SQL注入攻擊:這種攻擊是由于用戶在前端頁面輸入數(shù)據(jù)時,后臺程序沒有過濾輸入的特殊字符,異常數(shù)據(jù)直接和SQL語句組成正常的執(zhí)行語句去執(zhí)行,導(dǎo)致不需要密碼就能夠直接登陸,泄露網(wǎng)站的信息。因此攻擊者可以構(gòu)造隱蔽的SQL語句,當(dāng)后臺程序執(zhí)行語句時,攻擊者未經(jīng)系統(tǒng)和程序授權(quán)就能修改數(shù)據(jù),甚至在數(shù)據(jù)庫服務(wù)器上執(zhí)行系統(tǒng)命令,對網(wǎng)站的安全體系帶來嚴(yán)重威脅。這種漏洞的根本原因是,編程人員在編寫程序時,代碼邏輯性和嚴(yán)謹(jǐn)性不足,讓攻擊者有機可乘。早期的SQL查詢方式存在很大問題,使用了一種簡單的拼接的方式將前端傳入的字符拼接到SQL語句中?,F(xiàn)在通常采用傳參的方式避免SQL注入攻擊例如使用MYBAIIS框架替代早期對數(shù)據(jù)庫的增刪改查方式,因此,防止這種攻擊辦法的最好方式是完善代碼的嚴(yán)謹(jǐn)性,另一方面是對網(wǎng)站原有代碼重新梳理、編寫,以安全的方式執(zhí)行SQL語句查詢的執(zhí)行。
(3)URL篡改:對使用HTTP的get方法提交HTML表單的網(wǎng)站,表單中的參數(shù)以及參數(shù)值會在表單提交后,作為所訪問的URL地址的一部分被提交,攻擊者就可以直接對URL字符串進行編輯和修改,并且能在其中嵌入惡意數(shù)據(jù),然后,訪問這個被嵌入的惡意數(shù)據(jù),再反饋給WEB應(yīng)用程序。如果想要對網(wǎng)站或APP進行全面的滲透測試服務(wù)的話,可以向網(wǎng)站安全公司或滲透測試公司尋求服務(wù)。
申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!