第3章
對(duì)Web應(yīng)用程序入侵及防范技術(shù)

目前很多業(yè)務(wù)都依賴(lài)于互聯(lián)網(wǎng)，如網(wǎng)上銀行、網(wǎng)絡(luò)購(gòu)物、網(wǎng)游等，很多惡意攻擊者出于不良的目的對(duì)Web應(yīng)用程序進(jìn)行攻擊，想方設(shè)法通過(guò)各種手段獲取他人的個(gè)人賬戶(hù)信息謀取利益。正是因?yàn)檫@樣，Web應(yīng)用程序最容易遭受攻擊。

一方面，由于TCP/IP的設(shè)計(jì)沒(méi)有考慮安全問(wèn)題，這使得在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)沒(méi)有任何安全防護(hù)。攻擊者可以利用系統(tǒng)漏洞造成系統(tǒng)進(jìn)程緩沖區(qū)溢出，攻擊者可能獲得或者提升自己在有漏洞的系統(tǒng)上的用戶(hù)權(quán)限來(lái)運(yùn)行任意程序，甚至安裝和運(yùn)行惡意代碼，竊取機(jī)密數(shù)據(jù)。而應(yīng)用層面的軟件在開(kāi)發(fā)過(guò)程中也沒(méi)有過(guò)多考慮安全的問(wèn)題，這使得程序本身存在很多漏洞，諸如緩沖區(qū)溢出、SQL注入等流行的應(yīng)用層攻擊，這些均屬于在軟件研發(fā)過(guò)程中疏忽了對(duì)安全的考慮所致。

另一方面，用戶(hù)對(duì)某些隱秘的東西帶有強(qiáng)烈的好奇心，一些利用木馬或病毒程序進(jìn)行攻擊的攻擊者，往往就是利用了用戶(hù)的這種好奇心理，將木馬或病毒程序捆綁在一些艷麗的圖片、音視頻及免費(fèi)軟件等文件中，然后把這些文件置于某些網(wǎng)站當(dāng)中，再引誘用戶(hù)去單擊或下載運(yùn)行。或者通過(guò)電子郵件附件和QQ、微信等即時(shí)聊天軟件，將這些捆綁了木馬或病毒的文件發(fā)送給用戶(hù)，利用用戶(hù)的好奇心理引誘用戶(hù)打開(kāi)或運(yùn)行這些文件。

同時(shí)，對(duì)Web應(yīng)用程序的攻擊也可以說(shuō)是形形色色、種類(lèi)繁多，常見(jiàn)的有metasploit攻擊、欺騙攻擊、緩沖區(qū)溢出、嗅探、利用IIS等針對(duì)Web Server漏洞進(jìn)行攻擊等。我們只有做到“知己知彼”，才能“防患于未然”。