 |
作为“网管”,谁都不希望自己所管理的网站因被黑客攻击而出现敏感数据泄密等各种损失,但现在的互联网不仅充斥着病毒、木马等各种恶意代码,而且也有非常多的黑客攻击和入侵行为,几乎是让人防不胜防。其实,在很多情况下并不是快速发展的黑客入侵工具和技术导致了如此的严峻形势,倒恰恰是我们网管的安全防护措施不到位而造成的(甚至是疏忽大意),很多人为的“漏洞”轻易就变成黑客入侵过程中的“跳板”。正所谓“千里之堤,毁于蚁穴”,从目录遍历、使用默认的后台和账号密码到不采取任何数据库的防下载措施,再从注入漏洞到0Day漏洞……这一个个看似简单的“小”漏洞的背后,其实都极有可能成为网站被入侵的罪魁祸首,在此与大家共享七种比较常见的网站防护漏洞与对应的预防措施。
虽说这是个已经出现了近二十年的老“漏洞”,但时至今日在互联网上仍存在着许多如此低权限设置的网站,比如在Google中构造“intext:to parent directory”(转到父目录)进行搜索的话,很快就会有几千万的漏洞网站链接出现(如图2所示)!其特点是都带有“To Parent Directory”的字样,点击打开后一般都能进行目录文件的浏览和下载操作,网站的敏感信息很容易被窥探到,危险性极大。
【漏洞预防措施】对Web服务器上的目录文件进行正确的访问权限设置,权限越低,其安全性就越高(可能会“牺牲”一定的操作便利性);另外,还要注意禁止将访问者提交的参数作为文件名使用,特别是要检验那些含“/”、“../”和“..\”字符的特殊意义的目录路径,最好是将打开文件的操作都限制在某个固定目录以便于查看和管理。
另外,我们所使用的很多网站管理系统都会在安装结束(或帮助说明中)时给用户提示:“请务必修改网站的后台路径、管理账号和密码!”对于这些默认的敏感关键信息,网站管理员一定要极度重视,千万不要使用“默认”的设置。比如通常的后台路径都是“网站域名/admin/login.asp”、“网站域名/admin/admin.asp”之类,黑客很容易就会猜测出来;而管理员账号和密码也通常是“admin/admin”或“admin/admin888”的类似组合,尝试登录成功的几率也是比较大的,甚至有的网站管理登录页面中都会有“用户名:admin;密码:admin”的“贴心”提示(如图4所示)。
曾经发生的CSDN、人人网、天涯、新浪微博和腾讯QQ等若干海量数据库被下载的最大互联网泄密事件,给所有的网站管理员敲响了安全防护的警钟,尤其是网站后台服务器上所保存的用户信息数据库。假如网站的数据库被黑客查找到并非法下载的话,即使其中所保存的用户账号密码是经MD5加密的,造成的影响也几乎是无法衡量的——密码被解密、注册用户的隐私信息(比如手机号、工作单位等)被公布、经济造成损失(如图5所示)。特别是大多数网站系统模板的数据库路径和名称都是比较固定的,比如网站域名后添加“/databackup/dvbbs7.mdb”、“/admin/data/qcdn_news. mdb”或“/Databases/lixiang.mdb”,黑客可以直接构造出URL来访问默认的数据库而进行非法下载操作(如图6所示)。
【漏洞预防措施】最常见的做法是将数据库进行各种伪装隐藏,而且是多种方式的结合效果会更好些。比如:把网站数据库存放到不容易被猜解到的深层目录中,再就是修改数据库名称(甚至是扩展名),最常规的做法是在数据库名称前面添加“#”、“&”和“$”之类的特殊字符,对于防止数据库被下载也具有一定的效果。在做好这些最基本的防下载措施之后,我们网站管理员最好是自己进行尝试下载,看是否能够成功。另外,我们也可以对数据库进行有条件访问的限制和加密等。 |
Powered by Discuz! X3.4
© 2001-2023 Discuz! Team.
