域名預(yù)訂/競(jìng)價(jià)，好“米”不錯(cuò)過(guò)

國(guó)內(nèi)對(duì)滲透測(cè)試以及安全評(píng)估的研究起步較晚，并且大多集中在在滲透測(cè)試技術(shù)上的研究，安全評(píng)估方面也有部分企業(yè)和研宄團(tuán)體具有系統(tǒng)的評(píng)估方式。然而國(guó)內(nèi)對(duì)基于滲透測(cè)試的自動(dòng)化集成系統(tǒng)研宄還非常少，從目前的網(wǎng)絡(luò)安全態(tài)勢(shì)來(lái)看，傳統(tǒng)的滲透測(cè)試方式己經(jīng)無(wú)法滿足現(xiàn)在網(wǎng)站對(duì)安全性能的要求，傳統(tǒng)的滲透測(cè)試技術(shù)和工具都還停留在運(yùn)用單一滲透測(cè)試方法或是單種測(cè)試工具，無(wú)法全面檢測(cè)出網(wǎng)站系統(tǒng)存在的漏洞。

目前國(guó)內(nèi)外使用比較普遍的攻擊方法主要有三種：

(1)跨站腳本：一般縮寫為XSS。這個(gè)漏洞是由于攻擊者通過(guò)終端向應(yīng)用程序提交數(shù)據(jù)，數(shù)據(jù)上傳至服務(wù)器的過(guò)程中沒(méi)有對(duì)提交的數(shù)據(jù)進(jìn)行嚴(yán)格審核和檢查，導(dǎo)致正常用戶運(yùn)行應(yīng)用程序時(shí)啟動(dòng)了惡意攻擊者嵌入程序中的代碼，大量用戶被攻擊。攻擊者不僅可以竊取用戶和系統(tǒng)管理員的cookie，還可以進(jìn)行掛馬操作，使更多的訪問(wèn)用戶被惡意代碼攻擊。在如今網(wǎng)站各項(xiàng)技術(shù)非常普及的情況下，蠕蟲(chóng)也有可能能利用跨站腳本存在的漏洞，對(duì)網(wǎng)站進(jìn)行大規(guī)模攻擊，造成極大危害。

(2)SQL注入攻擊：這種攻擊是由于用戶在前端頁(yè)面輸入數(shù)據(jù)時(shí)，后臺(tái)程序沒(méi)有過(guò)濾輸入的特殊字符，異常數(shù)據(jù)直接和SQL語(yǔ)句組成正常的執(zhí)行語(yǔ)句去執(zhí)行，導(dǎo)致不需要密碼就能夠直接登陸，泄露網(wǎng)站的信息。因此攻擊者可以構(gòu)造隱蔽的SQL語(yǔ)句，當(dāng)后臺(tái)程序執(zhí)行語(yǔ)句時(shí)，攻擊者未經(jīng)系統(tǒng)和程序授權(quán)就能修改數(shù)據(jù)，甚至在數(shù)據(jù)庫(kù)服務(wù)器上執(zhí)行系統(tǒng)命令，對(duì)網(wǎng)站的安全體系帶來(lái)嚴(yán)重威脅。這種漏洞的根本原因是，編程人員在編寫程序時(shí)，代碼邏輯性和嚴(yán)謹(jǐn)性不足，讓攻擊者有機(jī)可乘。早期的SQL查詢方式存在很大問(wèn)題，使用了一種簡(jiǎn)單的拼接的方式將前端傳入的字符拼接到SQL語(yǔ)句中?，F(xiàn)在通常采用傳參的方式避免SQL注入攻擊例如使用MYBAIIS框架替代早期對(duì)數(shù)據(jù)庫(kù)的增刪改查方式，因此，防止這種攻擊辦法的最好方式是完善代碼的嚴(yán)謹(jǐn)性，另一方面是對(duì)網(wǎng)站原有代碼重新梳理、編寫，以安全的方式執(zhí)行SQL語(yǔ)句查詢的執(zhí)行。

(3)URL篡改：對(duì)使用HTTP的get方法提交HTML表單的網(wǎng)站，表單中的參數(shù)以及參數(shù)值會(huì)在表單提交后，作為所訪問(wèn)的URL地址的一部分被提交，攻擊者就可以直接對(duì)URL字符串進(jìn)行編輯和修改，并且能在其中嵌入惡意數(shù)據(jù)，然后，訪問(wèn)這個(gè)被嵌入的惡意數(shù)據(jù)，再反饋給WEB應(yīng)用程序。如果想要對(duì)網(wǎng)站或APP進(jìn)行全面的滲透測(cè)試服務(wù)的話，可以向網(wǎng)站安全公司或滲透測(cè)試公司尋求服務(wù)。

申請(qǐng)創(chuàng)業(yè)報(bào)道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！