XMLcommandinjection等方法。括SQL、(3)MaliciousFileExecution:恶意软件执行。即Web应用程序引入来自外部的恶意档案并执行档案内容;目前大多发生在php程序语言上。
作者简介:张鹏(1969-),男,山东淄博人,讲师,本科,从事计算机基础教学研究。
··218
煤炭技术第31卷
(4)InsecureDirectObjectReference:不安全的
其攻击方式是攻击者利用Web系统本身对象参考。
的档案读取功能,任意存取系统的某一个档案或数据,其主要目标系为窃取系统内的档案内容,属于一种盗取资料的攻击行为。
(5)Cross-SiteRequestForgery(CSRF):跨站冒
既为已登入Web应用程序的合法用户执行名请求。
到恶意的http指令,但Web应用程序却当成合法需求处理,使得恶意指令被正常执行。
(6)InformationLeakageandImproperErrorHandling:程序代码错误讯息外漏,既是在Web应用程序的执行错误讯息中包含敏感的数据,使得程序代码之错误讯息暴露在网页上。
(7)BrokenAuthenticationandSessionManage-ment:身分验证功能缺失。指Web应用程序的身份验证相关功能有缺陷,可能导致session或cookies内所存之数据泄漏,造成用户或管理者的身份ID被盗取。
(8)InsecureCryptographicStorage:未加密的储存设备。即Web应用程序没有对敏感数据使用加密,使用较弱的加密算法(MD5/6SHA1)或将密钥储存于容易被取得之处,使得机密数据容易被黑客破解,造成数据外泄。
(9)InsecureCommunication:未加密的网络联机。即没有在传送敏感性数据时使用HTTPS或其他加密方式,此攻击行为常发生于无线网络的传输过程中。
(10)FailuretoRestrictURLAccess:中文译为无权限的控制,意指某些网页因为没有权限控制,使得攻击者可透过网址直接存取,案例包括允许直接修改Wiki或Blog网页内容。(2)防火墙
防火墙会在在较安全的区域网络与较不安全的
防火网络之间设定一道闸门,用以过滤来往的封包。
墙根据事先设定的规则来检查网络间传输的资料,合乎规则的封包放行进出,不合乎规则的封包退回或丢弃。防火墙虽然能阻档大部份入侵攻击,但防火墙并非万能,虽然它可以拦阻一些非法通讯封包,但对于封包内容并不检测是否是恶意攻击。如果一些新型的攻击技巧出现时,防火墙很可能无法立即更新,而且网络管理人员在未了解新的入侵手法与
系统漏洞前,通常无法以相对的措施来进行防御,而原有的防御措施却已无法提供预期的效果,因此在面临新的攻击手法时常会难以招架。
(3)入侵检测系统
入侵检测系统(IntrusionDetectionSystem,IDS)是一种针对网络传输进行实时监视,在发现可疑的活动封包传输时,发出警讯或是采取主动反应措施的网络安全设备。IDS的用途可以克服一般防火墙不足的功能,IDS可根据所建立好的入侵特征资料库进行对通过的封包做比对和分析,以侦测异常封包并且提供警讯。
(4)入侵防御系统
入侵系统(IntrusionProtectionSystem,IPS)是IDS的加强版,它是以IDS为基础发展起的新生网络安全产品,由于当IDS察觉有异常的入侵行为且提供警讯给网管人员的同时,入侵攻击或许已攻陷整个网域;在另一方面,一般防火墙无法阻挡网络应
IPS可在侦测进行的同用层之攻击,针对这些缺失,
时将符合条件的攻击行为加以阻绝,丢弃其封包并中断其连线,所有传送在攻击端与被攻击端的封包都会经由IPS做检测。
2计算机网络安全防护措施3结论
计算机网络安全的防范措施包括访问控制策略与数据加密技术两大类,其中访问控制是克服网络安全漏洞的最主要策略,其主要目的是保证网络资
为了实现Web网站的源不被非法访问和非法使用。
安全访问控制,目前采用的一些措施包括:
(1)杀