超級(jí)連接的提示中換行效果實(shí)現(xiàn)代碼
411
2024-10-16
相信很多站長(zhǎng)都有網(wǎng)站被攻擊過(guò)的經(jīng)歷,網(wǎng)站越優(yōu)質(zhì)越容易被盯上。如果被攻入恰恰說(shuō)明網(wǎng)站存在安全漏洞, 這時(shí)要及時(shí)處理并做好程序、服務(wù)器的安全防范,今天我們講下什么是XSS攻擊、SQL 注入、WebShell 掃描?這些攻擊要如何預(yù)防?
一、什么是XSS攻擊
XSS(Cross-Site Scripting)又稱(chēng)跨站腳本攻擊。通常指的是通過(guò)利用網(wǎng)頁(yè)開(kāi)發(fā)時(shí)留下的漏洞,通過(guò)技術(shù)方法注入惡意指令代碼到網(wǎng)頁(yè),使用戶(hù)加載并執(zhí)行攻擊者惡意制造的網(wǎng)頁(yè)程序。攻擊成功后,攻擊者可能得到包括但不限于更高的權(quán)限(如執(zhí)行一些操作)、私密網(wǎng)頁(yè)內(nèi)容、 會(huì)話(huà)和cookie等各種內(nèi)容。其導(dǎo)致的危害可想而知,如劫持用戶(hù)會(huì)話(huà),插入惡意內(nèi)容、重定向用戶(hù)、使用惡意軟件劫持用戶(hù)瀏覽器、繁殖 XSS 蠕蟲(chóng),甚至破壞網(wǎng)站、修改路由器配置信息等。
二、XSS攻擊的預(yù)防
1、過(guò)濾所有的HTTP Request參數(shù)。
2、用戶(hù)輸入長(zhǎng)度限制。
3、使用 HttpOnly Cookie,禁止js讀取某些Cookie。
4、避免拼接html。
5、避免內(nèi)聯(lián)事件,如。
6、防止下發(fā)界面現(xiàn)實(shí)html標(biāo)簽, 把</>等符號(hào)轉(zhuǎn)義。
三、什么是SQL注入
SQL注入(SQLi)是通過(guò)構(gòu)建特殊的輸入作為參數(shù)傳入Web應(yīng)用程序,而這些輸入大都是SQL語(yǔ)法里的一些組合,通過(guò)執(zhí)行SQL語(yǔ)句進(jìn)而控制Web應(yīng)用程序后面的數(shù)據(jù)庫(kù)服務(wù)器,其主要原因是程序沒(méi)有仔細(xì)過(guò)濾用戶(hù)輸入的數(shù)據(jù),致使非法數(shù)據(jù)侵入系統(tǒng)。
攻擊者可以使用SQL注入漏洞繞過(guò)應(yīng)用程序的安全措施,繞過(guò)網(wǎng)頁(yè)或Web應(yīng)用程序的身份驗(yàn)證和授權(quán),并檢索整個(gè)SQL數(shù)據(jù)庫(kù)的內(nèi)容。還可以利用SQL注入訪問(wèn)未經(jīng)授權(quán)的用戶(hù)敏感數(shù)據(jù),同時(shí)添加、修改和刪除數(shù)據(jù)庫(kù)中的記錄,這是非常危險(xiǎn)的Web應(yīng)用程序漏洞之一。
四、SQL注入的預(yù)防
1、檢查變量數(shù)據(jù)類(lèi)型和格式。
2、過(guò)濾特殊符號(hào)或轉(zhuǎn)義處理。
3、綁定變量,使用預(yù)編譯語(yǔ)句。
4、訪問(wèn)數(shù)據(jù)庫(kù)進(jìn)行多層驗(yàn)證。
5、使用安全參數(shù)來(lái)杜絕注入式攻擊。
6、對(duì)用戶(hù)進(jìn)行分級(jí)管理,嚴(yán)格控制用戶(hù)的權(quán)限。
五、什么是WebShell掃描
WebShell是一種可以在web服務(wù)器上執(zhí)行后臺(tái)腳本或者命令的后門(mén),這些后門(mén)文件放置在網(wǎng)站服務(wù)器的web目錄中,與正常的網(wǎng)頁(yè)文件混在一起。黑客通過(guò)入侵網(wǎng)站上傳WebShell后獲得服務(wù)器的執(zhí)行操作權(quán)限,比如執(zhí)行系統(tǒng)命令、竊取用戶(hù)數(shù)據(jù)、刪除web頁(yè)面、修改主頁(yè)等,其危害不言而喻。
WebShell可以穿越服務(wù)器防火墻,由于與被控制的服務(wù)器或遠(yuǎn)程過(guò) 80 端口傳遞的,因此不會(huì)被防火墻攔截。并且使用 WebShell 一般不會(huì)在系統(tǒng)日志中留下記錄,只會(huì)在網(wǎng)站的 web 日志中留下一些數(shù)據(jù)提交記錄,沒(méi)有經(jīng)驗(yàn)的管理員很難看出入侵痕跡。
六、WebShell掃描的預(yù)防
1、購(gòu)買(mǎi) waf,如云盾等產(chǎn)品,waf 可以制止 WebShell 的上傳,但要注意是否會(huì)誤傷阻止正常IP。
2、修改 php.ini,在 disabled_fuctions 選項(xiàng)中計(jì)入 eval, system 等危險(xiǎn)函數(shù)的名稱(chēng),這樣此類(lèi)函數(shù)即使存在于代碼中 php 也會(huì)禁止其執(zhí)行。
3、網(wǎng)站程序目錄下可寫(xiě)目錄不給執(zhí)行權(quán)限,有執(zhí)行權(quán)限的目錄不給寫(xiě)權(quán)限。
4、使用 chroot 將 web 目錄轉(zhuǎn)換為根目錄,這樣即使成功執(zhí)行 webshell,也無(wú)法訪問(wèn) web 目錄之外的資源。
5、將整個(gè)服務(wù) docker 化,從而實(shí)現(xiàn)服務(wù)與物理機(jī)之間的隔離。
上述這幾種惡意請(qǐng)求可以說(shuō)是比較常見(jiàn)的,理論上只要你的網(wǎng)站上線(xiàn)可以被訪問(wèn)到,這些惡意請(qǐng)求也就來(lái)了,因?yàn)槎际怯霉ぞ咦詣?dòng)實(shí)現(xiàn)掃描、破解。推薦閱讀“服務(wù)器被大流量攻擊怎么辦”這篇文章,建議定時(shí)備份程序文件及數(shù)據(jù)庫(kù),服務(wù)器/網(wǎng)站管理員的密碼設(shè)置8位以上字母+大小寫(xiě)+特殊字符的組合密碼。
