發現并防止對WEB應用服務器的三種攻擊

WWW，也有人稱它為WEB，是應用目前互聯網上增長最快的網絡信息服務，也是最方便和最受歡迎的信息服務類型。其最大的特點為集成性，它可以集成多種應用，如FTP、E-Mail、數據庫等，這種集成性也使WEB服務成為最脆弱的服務器之一。

　　當然，我們對安全問題越來越重視，影響安全的因素有很多。如，病毒、間諜軟件、漏洞等。而惡意軟件由來已久，遠遠超出了我們的記憶。特別是在當今，特洛伊木馬等惡意代碼日益橫行，這種趨勢好像并沒有減緩的跡象。不過，惡意軟件問題比起攻擊者通過利用脆弱的應用程序服務器竊取大量的關鍵信息來說，顯得還是相形見絀。

　　為什么WEB應用程序服務器會成為攻擊者的靶子？原因很簡單，因為它們是可以被公開訪問的，并且與后端的數據庫服務器緊密相連，后端數據庫服務器存儲著海量的令犯罪分子垂涎三尺的信息。那么，攻擊者是怎樣使用前端有WEB應用程序攻入后端數據庫服務器壁壘的呢。

　　SQL 注入式攻擊

　　SQL注入式攻擊如今日益成為互聯網上竊取機密信息的受歡迎的途徑。一次SQL注入式攻擊都包含這樣一種方法：攻擊者在一個WEB表單的搜索字段中輸入一個SQL查詢，如果這個查詢被WEB應用程序接受，就會被傳遞到后端的數據庫服務器來執行它，當然這要建立在從WEB應用程序到數據庫服務器的讀/寫訪問操作被準許的前提下。這可以導致兩種情況發生，一是攻擊者可以查看數據庫的內容，二是攻擊者刪除數據庫的內容。無論哪一種情況發生，對用戶來說都意味著災難。

　　很多人可能認為，SQL注入式攻擊需要高深的知識。其實恰恰相反，實質上，任何人，只要對SQL有一個基本的理解并擁有一定的查詢程序（這種程序在互聯網上比比皆是），這種攻擊就可以實施。

　　Blind SQL 注入式攻擊

　　Blind SQL注入式攻擊是發動攻擊的另一個方法，但卻是另一種略有不同的方法。在執行一次標準的SQL注入式攻擊時，攻擊者將一個SQL查詢插入到一個WEB應用程序中，期望使服務器返回一個錯誤消息。這種錯誤消息能夠使攻擊者獲得用于執行更精確的攻擊所需要的信息。這會致使數據庫管理員相信只要消除這種錯誤的消息就會解決引起SQL注入式攻擊的潛在的問題。管理員可能不會認識到雖然這樣會隱藏錯誤消息，這種脆弱性仍然存在。這樣會為攻擊者增加點兒困難，卻不能阻止攻擊者使用錯誤消息收集信息，攻擊者會不斷地將偽造的SQL查詢發送給服務器，以期獲得對數據庫的訪問。

　　跨站點腳本攻擊

　　跨站點的腳本攻擊，也可稱為XSS或CSS，是黑客損害那些提供動態網頁的WEB應用的一種技術。當今的許多WEB站點都提供動態的頁面，這些頁面由為用戶動態建造的多個源站點的信息組成。如果WEB站點管理員不注意這個問題，惡意內容能夠插入到Web頁面中，以收集機密信息或簡單地用戶端系統上執行。

　　對抗手段

　　有許多對抗Web應用服務器攻擊的對策和措施。對問題的清醒的認識無疑是最重要的。許多企業組織正專注于一些需要執行的預防性的措施，不過卻不知曉這些攻擊是如何執行的。如果不理解WEB應用服務器攻擊是如何工作的，將會使對抗措施不能真正起作用，簡單地依靠防火墻和入侵防御系統不能從根本上解決問題。例如，如果你的WEB應用服務器沒有對用戶輸入進行過濾，你就很容易遭受上述類型的攻擊。

　　領先于攻擊者的另一個關鍵問題是定期對你的WEB應用進行徹底的檢查。在技術領域，“亡羊補牢，未為晚也”可能不太適用，因為如果你不及時檢查修補你的“墻”，你丟失的將不僅僅是“羊”，很有可能是你的整個“羊圈”甚至更多。