网站安全方案书.doc

网站安全解决方案
指导老师:
小组成员:
目录
1
1
1
2
2
. 受商业利益驱使 2
2
2
2
2
3
4
4
4
4
5
5
. 跨站脚本攻击 6
6
6
6
. XSS解决方案 7
. 挂马攻击 7
7
8
. 挂马危害 8
8
10
10
10
10
13
15

近年来,随着互联网技术的发展,所面临的Web应用安全问题越来越复杂,安全威胁正在飞速增长,尤其混合威胁的风险,如黑客攻击、蠕虫病毒、DDoS攻击、SQL注入、跨站脚本、Web应用安全漏洞利用等,极大地困扰着用户,给组织的信息网络和核心业务造成严重的破坏。这就要求我们应该更加重视网站安全问题。

人们的生活已经跟网站紧密相关,获取知识、浏览新闻、游戏娱乐、在线购物甚至网上炒股,网站给人们带来的太多的便利。

随着Web应用技术的深入普及,网站攻击的技术门槛在不断降低,当攻击跟金钱、名誉甚至政治阴谋联系在一起的时候,我们的网站很可能已经处于多个攻击者的视线之内。正因为如此,网页挂马、数据篡改等网站安全事件层出不穷,网站被攻击而遭受损失的媒体报道屡见不鲜,网站安全形势日益严峻。而网站被攻击后造成的巨大损失,也已经成为网站所有者和访问者不能承受之痛。


商业竞争对手恶意竞争通过黑客手法攻击;如据互联安全网报道: 黑客受雇恶意文档攻击西方企业,这类攻击就属于商业竞争行为。
. 受商业利益驱使
敲诈勒索、盗取各类银行帐户信息及虚拟财产的黑客攻击行为;如各类钓鱼行为都属于商业利益驱使的攻击行为。

随意篡改网站首页;这类黑客攻击往往是一些新手的尝试行为,更多的是为了一种虚荣心的满足。

攻击一个网站后,挂上网页木马(可导致浏览该网站者中毒而使自己的计算机成为入侵者的肉鸡);这类是为其他类攻击原因作准备,据从互联安全网社区获得的案例,有黑客竟然通过这类行为掌握了数万台的肉鸡。

网站服务不好而引起的商业纠纷等无法处理的时候会有黑客攻击行为;如前一段时间某威客网站经常遭受莫名攻击导致无法正常提供服务,有权威人士就指出乃是因为其网站客户服务不到位,无故刁难客户导致黑客人士不平进而遭受DDOS攻击,根本不是所谓其自己据称的遭受竞争对手恶意攻击。

此类攻击主要针对一些资料网站包括收费用户网站,一般攻击者不会破坏服务器及网站数据,但会悄悄将数据偷走据为已有;如盗取网站管理员的密码之类。

这类一般为一些正在学习黑客技术的人通过攻击网站练习的人骇客新手,这类攻击一般攻击经验少,容易对网站数据造成破坏。



所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。SQL注入攻击是发生在应用程序的数据库层上的安全漏洞。在设计不良的程序当中,忽略了对输入字符串中夹带的SQL指令的检查,那么这些夹带进去的指令就会被数据库误认为是正常的SQL指令而运行,从而使数据库受到攻击,可能导致数据被窃取、更改、删除,以及进一步导致网站被嵌入恶意代码、被植入后门程序等危害。

无论是内网环境还是外网环境(互联网),B/S架构的Web应用(以下指网站)都直接或者间接地受到各种类型的Web攻击的影响。对于后台数据库来说,以SQL注入攻击危害最为普遍,由于网站服务端语言自身的缺陷与程序员编写代码的安全意识不足, 攻击者可以将恶意SQL语句