域名預(yù)訂/競價，好“米”不錯過

國內(nèi)對滲透測試以及安全評估的研究起步較晚，并且大多集中在在滲透測試技術(shù)上的研究，安全評估方面也有部分企業(yè)和研宄團體具有系統(tǒng)的評估方式。然而國內(nèi)對基于滲透測試的自動化集成系統(tǒng)研宄還非常少，從目前的網(wǎng)絡(luò)安全態(tài)勢來看，傳統(tǒng)的滲透測試方式己經(jīng)無法滿足現(xiàn)在網(wǎng)站對安全性能的要求，傳統(tǒng)的滲透測試技術(shù)和工具都還停留在運用單一滲透測試方法或是單種測試工具，無法全面檢測出網(wǎng)站系統(tǒng)存在的漏洞。

目前國內(nèi)外使用比較普遍的攻擊方法主要有三種：

(1)跨站腳本：一般縮寫為XSS。這個漏洞是由于攻擊者通過終端向應(yīng)用程序提交數(shù)據(jù)，數(shù)據(jù)上傳至服務(wù)器的過程中沒有對提交的數(shù)據(jù)進行嚴格審核和檢查，導(dǎo)致正常用戶運行應(yīng)用程序時啟動了惡意攻擊者嵌入程序中的代碼，大量用戶被攻擊。攻擊者不僅可以竊取用戶和系統(tǒng)管理員的cookie，還可以進行掛馬操作，使更多的訪問用戶被惡意代碼攻擊。在如今網(wǎng)站各項技術(shù)非常普及的情況下，蠕蟲也有可能能利用跨站腳本存在的漏洞，對網(wǎng)站進行大規(guī)模攻擊，造成極大危害。

(2)SQL注入攻擊：這種攻擊是由于用戶在前端頁面輸入數(shù)據(jù)時，后臺程序沒有過濾輸入的特殊字符，異常數(shù)據(jù)直接和SQL語句組成正常的執(zhí)行語句去執(zhí)行，導(dǎo)致不需要密碼就能夠直接登陸，泄露網(wǎng)站的信息。因此攻擊者可以構(gòu)造隱蔽的SQL語句，當后臺程序執(zhí)行語句時，攻擊者未經(jīng)系統(tǒng)和程序授權(quán)就能修改數(shù)據(jù)，甚至在數(shù)據(jù)庫服務(wù)器上執(zhí)行系統(tǒng)命令，對網(wǎng)站的安全體系帶來嚴重威脅。這種漏洞的根本原因是，編程人員在編寫程序時，代碼邏輯性和嚴謹性不足，讓攻擊者有機可乘。早期的SQL查詢方式存在很大問題，使用了一種簡單的拼接的方式將前端傳入的字符拼接到SQL語句中?，F(xiàn)在通常采用傳參的方式避免SQL注入攻擊例如使用MYBAIIS框架替代早期對數(shù)據(jù)庫的增刪改查方式，因此，防止這種攻擊辦法的最好方式是完善代碼的嚴謹性，另一方面是對網(wǎng)站原有代碼重新梳理、編寫，以安全的方式執(zhí)行SQL語句查詢的執(zhí)行。

(3)URL篡改：對使用HTTP的get方法提交HTML表單的網(wǎng)站，表單中的參數(shù)以及參數(shù)值會在表單提交后，作為所訪問的URL地址的一部分被提交，攻擊者就可以直接對URL字符串進行編輯和修改，并且能在其中嵌入惡意數(shù)據(jù)，然后，訪問這個被嵌入的惡意數(shù)據(jù)，再反饋給WEB應(yīng)用程序。如果想要對網(wǎng)站或APP進行全面的滲透測試服務(wù)的話，可以向網(wǎng)站安全公司或滲透測試公司尋求服務(wù)。

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點子。點擊此處，共同探討創(chuàng)業(yè)新機遇！