2008-07-16 16:07 文章来源：网界网

新技术威胁

根据世界上权威的Web安全与数据库安全研究组织OWASP提供的报告，目前对Web业务系统威胁最严重的两种攻击方式是SQL注入攻击和跨站脚本攻击。

SQL注入攻击

SQL注入的攻击原理是利用程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，导致入侵者可以通过恶意SQL命令的执行，获得数据读取和修改的权限。攻击者成功进行SQL注入后，会拥有整个系统的最高权限，可以修改页面、数据，在网页中添加恶意代码，危害极大。

SQL注入攻击的变种极多，有经验的攻击者会手动调整攻击参数，致使攻击数据的变种不胜枚举，这导致传统的特征匹配检测方法仅能识别相当少的攻击。

另外，此类攻击的实现过程非常简单。目前互联网上流行众多的SQL注入攻击工具，攻击者借助这些工具可很快对目标Web系统实施攻击和破坏。

令人担忧的是，由于Web编程语言自身的缺陷，以及具有安全编程能力的开发人员少之又少，大多数Web业务系统均具有被SQL注入攻击的可能。而攻击者一旦注入成功，可以控制整个Web业务系统，包括对数据做任意的修改。

跨站脚本（XSS）攻击

不同于SQL注入以Web服务器为目标的攻击方式，跨站脚本攻击则是将目标指向了Web业务系统所提供服务的客户端。

跨站脚本攻击是通过在网页中加入恶意代码，当访问者浏览网页时，恶意代码会被执行或者以通过给管理员发信息的方式诱使管理员浏览，从而获得管理员权限，控制整个网站。攻击者利用跨站请求伪造能够轻松地强迫用户的浏览器发出非故意的HTTP请求，如诈骗性的电汇请求、修改口令和下载非法的内容等请求。

根据以往跨站脚本攻击的安全事件及产生的后果来看，跨站脚本攻击可导致的后果非常严重，影响面也十分之广，主要包括了：

第一，盗取各类用户账号，如机器登录账号、用户网银账号、各类管理员账号等。

第二，控制企业数据，包括读取、篡改、添加、删除企业敏感数据的能力。

第三，盗窃企业重要的具有商业价值的资料。

第四，非法转账。

第五，强制发送电子邮件。

第六，网站挂马。

第七，控制受害者机器向其他网站发起攻击。

跨站脚本攻击不仅威胁程度更大、威胁波及面更广，同时攻击过程也更加复杂多变，与SQL注入攻击检测类似，传统上基于攻击特征匹配的防御技术难以奏效。

1 2 3 4 5

责任编辑：程永来

文章评论

更多关于 Web安全,Web威胁的文章