网站安全要求在设计和使用的各个方面保持警惕。这篇介绍性文章不会使您成为网站安全专家,但是它将帮助您了解威胁的来源以及如何针对最常见的攻击来增强网站应用程序。
| 先决条件: | 基本的计算机技能。 |
|---|---|
| 目标: | 了解对网站应用程序安全性最常见的威胁,以及如何减少网站被黑客入侵的风险。提供有效的网站安全性解决方案。 |
什么是网站安全?
互联网是危险的地方!通常,我们会听到由于拒绝服务攻击而无法使用网站,或者在其首页上显示经过修改(且通常是有害的)信息的网站。在其他备受瞩目的案例中,数百万的密码,电子邮件地址和信用卡详细信息会向公众发布,使网站用户面临个人尴尬和风险。财务损失。
网站安全的目标是防止这些类型的攻击。更正式地讲,网站安全是保护网站免遭未经授权的访问,使用,修改,破坏或破坏的行为/做法。
网站的有效安全性需要在整个网站上进行设计工作:在网站应用程序中,网站服务器配置中,在创建和更新密码的策略中以及在代码端-client。尽管所有这些听起来都很令人担忧,但好消息是,如果您使用的是服务器端网站框架,则默认情况下它将包含强大的,经过深思熟虑的防御机制,以应对多种最常见的攻击。通过配置网站服务器,例如启用HTTPS,可以缓解其他攻击。最后,还有公开可用的漏洞分析工具,可以帮助您确定是否犯了明显的错误。
本文的其余部分详细介绍了对网站最常见的威胁,并提供了一些简单的步骤来保护您的网站。
注意:这是一篇介绍性文章,旨在帮助您考虑网站的安全性。这并不详尽。
网站安全的威胁
本节仅列出了一些最常见的网站威胁以及如何缓解这些威胁。在阅读时,请注意,当网站应用程序信任或对浏览器的数据不够可疑时,威胁将如何出现!
跨站脚本(XSS)
XSS是用于描述攻击类别的术语,该类别允许攻击者通过网站注入客户端执行的脚本,以针对其他用户的网站浏览器。由于注入的代码来自网站,因此网站浏览器认为它是安全的,因此可以执行将身份验证cookie从用户传递给攻击者的操作。一旦攻击者获得了该cookie,他就可以像被攻击的用户一样登录到该站点,并可以执行该用户可以做的任何事情。根据发生攻击的站点,这可能包括访问信用卡详细信息,联系信息,更改密码等。
注意:与其他类型相比,XSS漏洞历来是最常见的漏洞。
请求站点将注入的脚本返回到网站浏览器的主要方法有两种,这些方法称为反射性 XMS漏洞和持久性 XSS漏洞。
当传递给服务器的用户内容立即返回,保持不变并显示在浏览器中时,就会发生一个反映的XSS漏洞-加载新页面时,将执行原始内容中的所有脚本!
以某个站点中的搜索功能为例,在该站点中,搜索词被编码为URL中的参数,并且这些词与结果一起永久显示。攻击者可以构建包含恶意脚本作为参数的搜索链接(例如:http://mysite.com?q=beer永久性 XSS漏洞将是一个恶意脚本,该恶意脚本被存储在网站上,然后在不做任何修改的情况下被其他用户稍候显示并在其不知情的情况下执行。
例如,接受包含纯HTML代码的注释的聊天屏幕可以存储攻击者的恶意脚本。当显示注释时,脚本将被执行,然后可以将访问用户帐户所需的信息发送给攻击者。这种攻击方法极为普遍和有效,因为攻击者无需与受害者建立直接关系。
使用POST或发送数据时GET 是XSS漏洞的最常见来源,来自网站浏览器的任何数据都可能受到攻击(包括浏览器显示的cookie数据或已加载和显示的用户文件)。
防范XSS漏洞的最佳方法是删除或禁用可能包含执行代码指令的任何标记。为了这包括HTML标记,如
