关注大学生就业,培养泛IT高端人才

陕西新榜样官方网站

您的位置: 主页 > 新闻动态 > 公司动态 >

WEB开发存在的破解漏洞

来源:WEB开发培训 发布时间:2018-05-17 浏览量:

  如今,网站不再仅仅是“互联网存在”,也被用于商业交易和转移敏感数据。如此广泛的使用有助于破解漏洞和开发技术的知识。各种各样的安全研究表明,攻击网站以获取名声或金钱的趋势正在上升。下面就由陕西新榜样软件科技有限公司的WEB开发培训讲师介绍一些WEB开发存在的漏洞和利用它们的攻击。还可以学习一些可以由系统管理员纳入以保护公司的Web基础设施的技术。

  在讨论Web服务器如何破解之前,我们先来看看构成完整Web门户的各种组件。 首先,Web服务器是通常在端口80上侦听的服务。客户端软件(通常是浏览器)连接到端口并发送HTTP查询。 Web服务通过提供所请求的内容(如HTML,JavaScript等)进行响应。在某些情况下,可以将服务配置为在缺省的端口上运行,这是迈向安全的一小步。 Web服务器还可以托管诸如FTP或NNTP的服务,这些服务在自己的单独的默认端口上运行。

WEB开发培训

  一、Web服务和OSI层

  现代Web应用程序通常不仅仅是以简单网页的形式提供内容。业务逻辑和数据仓储组件(如数据库服务器,应用程序服务器和中间件软件)也用于生成并向网站用户提供业务特定数据。这些组件通常安装并运行在一组单独的服务器上,并且可能共享或不共享存储空间。 高级Web应用程序代码可以在内部调用托管在不同服务器上的Web服务,并将结果页面传递给客户端。 Web程序员还使用Cookie来维护会话,并在客户端浏览器中存储特定于会话的信息。

  二、网页劫持

  破解一个网站是相当容易的。新手可能会试图从网站窃取数据,而专业人士可能会因为破坏网站或使用网络服务器传播病毒而造成严重破坏。与大多数其他攻击不同,Web攻击所用的技术范围从第2层到第7层,因此Web服务器很容易受到各种可能的黑客攻击。由于防火墙端口必须为Web服务打开(默认情况下是端口80),因此它无法阻止第7层的攻击,这使得对Web攻击的检测变得困难。

  三、Web门户基础设施

  从安全的角度来看,这些组件中的每一个都有一些弱点,如果被利用,就会导致Web内容的入侵。

  四、DoS和嗅探

  由于网站的IP地址是开放给互联网的,因此拒绝服务攻击很容易使Web服务器停机。类似地,如果在Web设计过程中没有进行加密或其他安全措施,那么可以很容易地使用包嗅探器来捕获纯文本用户id和密码。几乎所有第2层和第3层攻击(如数据包洪泛,SYN洪泛等)都可能在网站IP和其所在的端口上。

  五、HTTP DoS攻击

  与基于网络的拒绝服务攻击不同,HTTP DoS攻击在第7层工作。在这种类型的攻击中,网站以编程的方式爬行获取要访问的页面列表,在此期间攻击者还记录服务器处理每个页面所需的时间。选择需要更高处理时间的页面,并将多个HTTP请求发送到Web服务器,每个请求请求其中一个所选页面。

  为了满足每个请求,Web服务器开始消耗资源。达到资源限制后,最终放弃并停止响应。众所周知,攻击者使用简单的脚本创建大量的HTTP GET请求来实现此攻击。如果网站只包含简单的静态HTML页面,那么这种攻击就不会很有效。但是,如果动态页面从后端数据库服务器中提取数据,那么这种攻击就会造成相当大的损害。

  虽然它可能或不会导致数据窃取,但它肯定会关闭网站,造成用户体验不良,并损害声誉。必须部署智能技术来检测和停止此类攻击,我们将很快了解这些攻击。

  六、访问控制开发

  通常,在Web门户的情况下,用户会得到一个ID和一个密码来登录并执行某些功能。门户管理人员也为维护和数据管理提供了自己的凭证。如果Web服务和应用程序不是从编码的角度设计的,那么就可以利用它们来获得更高的特权。

  例如,如果Web服务器未使用最新的安全修补程序进行修补,这可能导致远程代码执行,攻击者可能会编写一个脚本来利用该漏洞,并访问服务器并远程控制它。在某些情况下,可能会发生这种情况,因为没有遵循最佳的编码和安全实践,在安全配置中留下空白,并使Web解决方案容易受到攻击。

  陕西新榜样软件科技有限公司是一家西安软件培训的龙头企业,拥有众多的师资力量与良好的教学环境,致力于打造西安最权威最专业的IT培训平台。陕西新榜样会定期发布西安软件培训等相关资料文章,包括:西安JAVA培训西安UI培训WEB开发培训网络营销工程师培训等领域,敬请关注!

  WEB开发培训热线:029-63326555

  西安软件培训网址:www.xinbangyang.com

  联系地址:陕西省西安市碑林区东大街端履门云龙大厦9楼

IT培训 服务