发布时间:2019-6-24 分类: 电商动态
如今,代购源码网站不再只是“互联网存在”,而是用于商业交易和传输敏感数据。如此广泛的使用有助于破解漏洞和开发技术的知识。各种安全研究表明,攻击代购源码网站以获得名望或金钱的趋势正在上升。本文海耀搜索引擎优化工程师介绍了各种利用它们的网络漏洞和攻击。我们还将学习一些可由系统管理员合并以保护公司Web基础结构的技术。
在讨论如何破解Web服务器之前,让我们先看看构成完整Web门户的各种组件。首先,Web服务器是通常在端口80上侦听的服务。客户端软件(通常是浏览器)连接到端口并发送HTTP查询。 Web服务通过提供所请求的内容(例如HTML,JavaScript等)来响应。在某些情况下,可以将服务配置为在默认端口上运行,这是向安全性迈出的一小步。 Web服务器还可以托管FTP或NNTP等服务,这些服务在各自的默认端口上运行。下图显示了Web服务如何映射到OSI层。 HTTP协议适用于第7层,而HTTPS(安全套接字层)适用于第6层。
Web服务和OSI层
现代Web应用程序通常不仅仅以简单网页的形式提供内容。业务逻辑和数据仓库组件(如数据库服务器,应用程序服务器和中间件软件)也用于为代购源码网站用户生成和提供特定于业务的数据。这些组件通常在一组单独的服务器上安装和运行,可能共享也可能不共享存储空间。高级Web应用程序代码可以在内部调用托管在不同服务器上的Web服务,并将生成的页面传递给客户端。 Web程序员还使用cookie来维护会话并在客户端浏览器中存储特定于会话的信息。
网页劫持
破解代购源码网站非常容易。新手可能会试图从代购源码网站窃取数据,专业人员可能会被代购源码网站严重破坏或使用网络服务器传播病毒。与大多数其他攻击不同,Web攻击使用的技术范围从第2层到第7层,因此Web服务器容易受到各种可能的黑客攻击。由于防火墙端口必须为Web服务打开(默认情况下为端口80),因此无法阻止第7层攻击,因此难以检测Web攻击。请参阅下图,其中显示了用于构建Web门户基础结构的典型组件。
Web门户基础设施
从安全角度来看,这些组件中的每一个都有一些弱点,如果被利用,可能会导致Web内容的入侵。现在让我们详细讨论一些常见但危险的攻击。
DoS和嗅探
由于代购源码网站的IP地址对Internet开放,因此拒绝服务攻击可以轻松阻止Web服务器。同样,如果在Web设计过程中没有加密或其他安全措施,则可以轻松地使用数据包嗅探器来捕获纯文本用户ID和密码。几乎所有第2层和第3层攻击(例如数据包泛滥,SYN泛洪等)都可能位于代购源码网站IP及其所在的端口上。
HTTP DoS攻击
与基于网络的拒绝服务攻击不同,HTTP DoS攻击在第7层工作。在此类攻击中,代购源码网站以编程方式进行爬网以获取要访问的页面列表,在此期间攻击者还会记录服务器所花费的时间。处理每一页。选择需要更长处理时间的页面,并向Web服务器发送多个HTTP请求,每个请求都选择一个所选页面。
为了满足每个请求,Web服务器开始消耗资源。达到资源限制后,您最终放弃并停止响应。众所周知,攻击者使用一个简单的脚本来创建大量的HTTP GET请求来实现这种攻击。如果站点仅包含简单的静态HTML页面,则此攻击不会非常有效。但是,如果动态页面从后端数据库服务器提取数据,则此攻击可能会造成相当大的损害。
虽然它可能会或可能不会导致数据被盗,但它肯定会关闭代购源码网站,导致糟糕的用户体验和破坏声誉。必须部署智能技术来检测和阻止此类攻击,我们将很快了解这些攻击。
访问控制开发
通常,在Web门户的情况下,用户获取用于登录和执行某些功能的ID和密码。门户代购源码网站管理员还提供自己的维护和数据管理凭据。如果Web服务和应用程序不是从编码角度设计的,则可以使用它们获得更高的权限。
例如,如果Web服务器未使用最新的安全修补程序进行修补,则可能导致远程执行代码,并且攻击者可能会编写脚本来利用此漏洞并访问服务器并对其进行远程控制。在某些情况下,可能会发生这种情况,因为未遵循最佳编码和安全实践,从而在安全配置中留下空白并使Web解决方案易受攻击。
表单输入无效
许多代购源码网站使用代购源码网站用户填写的表格并将其提交给服务器。然后,服务器验证输入并将其保存到数据库。验证过程有时会委托给客户端浏览器或数据库服务器。如果这些验证不够强大或者没有正确编程,它们可能会留下一个可被攻击者利用的安全漏洞。
例如,如果诸如PAN号之类的字段是强制性的,并且如果重复条目的验证未正确完成,则攻击者可以以编程方式提交具有伪PAN号的表单,从而用虚假条目填充数据库。这最终可以帮助攻击者通过查询页面并请求不存在的条目来开发拒绝服务(DoS)攻击。
代码挖掘
虽然这与之前的漏洞有些类似,但它的破坏方式存在一些差异。通常,程序员在为各种用户输入设置限制时做出假设。一个典型的例子是用户名不应超过50个字符,或者数值始终为正数,依此类推。
从安全的角度来看,这些假设是危险的,因为黑客可以使用它们。例如,您可以通过填充100个字符的名称字段来对数据集施加压力,或者通过在数字字段中提供负整数来创建不正确的计算。
上面提到的所有攻击都被新手攻击者使用,遵循良好的编程习惯可以帮助他们阻止攻击。现在让我们来看看技术先进的攻击,这些攻击在今天很常见。
Cookie中毒
如前所述,cookie是驻留在浏览器中的一小段信息(位于客户端计算机的硬盘驱动器上),用于存储特定于用户会话的信息。这是一个cookie,可以记住我们的购物车内容,我们的偏好和以前的登录信息,以提供丰富的网络体验。
虽然篡改cookie并不容易,但专业攻击者可以控制它并操纵其内容。中毒是通过背景中的木马或病毒实现的,并继续伪造cookie以收集用户的个人信息并将其发送给攻击者。
此外,病毒还可以更改cookie的内容,从而导致严重的问题,例如提交购物车内容,以便将购买的商品交付到黑客可访问的虚拟地址,或者允许浏览器连接到广告服务器,它可以帮助攻击者获得资金等。如果会话信息存储在cookie中,专业攻击者可以访问它并窃取会话,导致中间人攻击。
会话劫持
Web服务器同时与多个浏览器通信以接收请求并传送所请求的内容。建立每个连接后,Web服务器需要一种方法来维护每个连接的唯一性。它使用会话令牌生成动态生成的文本字符串,包括IP地址,日期,时间等。
攻击者可以通过编程方式窃取令牌或在网络上嗅探令牌,或者在受害者的计算机上执行客户端脚本攻击。一旦被盗,令牌可用于创建虚假的Web请求并从受害用户窃取会话和信息。
URL查询字符串篡改
通常使用主URL中的查询字符串找到从数据库服务器提取数据并将其显示在网页上的站点。例如,如果代购源码网站URL是//www.seo7.cc /,它可以将field1和field2与//www.seo7.cc/showdata?field1=10& field2=15作为参数传递,并将它们分成数据库。结果输出作为网页提供给浏览器。
使此查询字符串格式易于公开,用户可以编辑和更改超出预期限制的字段值,或使用垃圾字符填充字段值。它可以进一步引导用户获取他们不应该获得的信息。在最坏的情况下,如果字段值是用户名和密码,则只能通过HTTP使用暴力字典攻击来获取系统级访问权限。
跨站点脚本
这是Web技术中最常见的弱点,它可以吸引所有主要站点和着名站点的XSS(跨站点脚本)攻击。已经发现,即使在今天,大量代购源码网站也容易受到此类攻击。此漏洞是由不适当的编程实践和无法在Web基础结构中获得适当的安全措施引起的。
我们知道客户端浏览器保持自己的安全性,并且不允许任何人访问代购源码网站内容和代购源码网站cookie,除了用户自己。在这种情况下,Web应用程序中的漏洞会导致破解者将客户端代码注入用户访问的页面。此代码通常用JavaScript编写。
要理解这一点,请将用户名视为输入页面并显示“欢迎用户名”。屏幕上。我们假设输入框被JavaScript替换如下:
在这里,网页最终可能会执行脚本标记,显示对话框消息“您遇到麻烦”。攻击者可以通过简单地破解cookie,窃取会话并将代码注入受害者用户的浏览器来进一步利用这一点。完成此操作后,JavaScript代码将在受害者的浏览器中运行并尽可能地造成损害。
SQL注入
如前所述,Web门户使用后端的数据库服务器,Web页面连接到数据库,查询数据,并以Web格式将获取的数据呈现给浏览器。如果客户端上的输入在作为查询发送到数据库之前未正确过滤,则可能发生SQL注入攻击。这可能导致操作SQL语句以便对数据库执行无效操作。
这种攻击的一个常见示例是由Web应用程序访问的SQL服务器,其中SQL语句不会被中间件或验证代码组件过滤。这可能导致攻击者能够在后端数据库服务器上创建和执行自己的SQL语句。这可能是一个简单的SELECT语句来获取和窃取数据,或者它可能与删除整个数据表一样严重。在其他情况下,通过使用恶意和虚假内容填充记录集可能会破坏数据。
尽管人们越来越意识到网络安全,但许多代购源码网站仍然可以执行SQL注入攻击。
虽然在本文中不可能涵盖所有可能的攻击,但让我们来看看一些越来越被用来攻击代购源码网站的不太知名的攻击。
缓慢的HTTP攻击
尽管此方法类似于拒绝服务攻击,但该技术略有不同。它利用了Web服务器必须侦听每个HTTP请求的事实。每个Web请求都以一个名为content-length的字段开头,该字段告诉服务器它需要多少字节,并以回车符和换行符(CRLF)字符组合结束。
HTTP请求由具有大内容长度的攻击者发起,而不是发送CRLF来结束请求,因此只需通过向Web服务器发送非常少量的数据来延迟。这允许Web服务器等待尚未到达的更多数据来完成请求。这会占用Web服务器的资源。
如果请求被延迟到小于服务器上的会话超时设置的点,则多个这样的慢请求可能完全消耗资源并产生拒绝服务攻击。这可以通过从一个浏览器创建缓慢和延迟的请求来完成,从安全角度来看这是危险的。
加密开发
它导致一切都是安全的错觉,不幸的是,事实并非如此。许多购物车应用程序忘记进一步加密cookie内容并将其放在纯文本中。虽然SSL上的数据受SSL保护,但运行客户端脚本来拦截cookie并读取其内容可能会导致数据被盗或会话被盗。
对于SSL,现代攻击者使用工具来检测和破坏较弱的加密算法,从而使SSL保护无效,尽管这并不常见。
保护开源软件系统
Apache运行在centods/red Hat,Ubuntu和Debian上,并且在严肃的FOSS Web基础架构和解决方案中受到广泛欢迎。第一步是加强Apache Web服务本身;这个互联网上有许多指南和示例 - 每个Linux发行版以及示例。
强烈建议禁用Web服务端口以外的端口,并停止和禁用不必要的服务。部署配置良好的防火墙或入侵检测设备至关重要。如前所述,简单的防火墙是不够的;因此,需要一种能够检测网络层攻击的内容过滤防火墙。
保护Web门户不仅限于Web服务器,还可以扩展到数据库服务器和Web服务等组件。从网络安全角度来看,最好只允许从前端Web服务器到数据库的IP连接。运行rootkit检测器,防病毒工具和日志分析器必须是常规的,以防止黑客。
为了中间件和Web服务器之间的高级安全性,还应该有一个更强大的身份验证机制。 Cookie应加密,并使用更强大的加密算法部署SSL。
从编码角度来看,如前所述,安全编程技术的使用至关重要,并遵循最佳安全实践,如代码审查和渗透测试。还建议使用其他过程,如输入代码验证,服务器和数据库端验证。
Web开发是攻击代购源码网站的常用方法。由于易于获取和可编程性,FOSS基础设施也容易受到此类攻击,因此网络管理员必须了解保护其基础设施免受丢失或被盗的技术。
