Web安全之攻击防范
是由Web平台的特点,即开放性所致,企业需要利用Web业务平台为用户提供服务就必须接受这个特点。对此孙大军的看法是,只要访问可以顺利通过企业的防火墙,Web业务就可以毫无保留地呈现在用户面前。因此,只有加强Web业务服务器自身的安全,才是真正的Web服务安全解决之道。
另外,徐学龙表示,全球爆发大规模疫情的时代已经宣告结束,今后 Web威胁的数量将持续成长,并且越来越显现出“逐利性”,以窃取企业、个人用户的私密信息牟利为目的。新一代的Web威胁具备混合型、定向攻击和区域性爆发等特点,员工对互联网的依赖性使得公司网络比以往更加容易受到攻击。正因为如此,普通的浏览网页都变成了一件带有极大安全风险的事情。Web威胁可以在用户完全没有察觉的情况下进入网络,从而对公司数据资产、行业信誉和关键业务构成极大威胁。
由于Web威胁的发展越来越表现“逐利性”,而攻击的越是大型企业,黑客们所能够获得的收益也就越大。因此,越是大型的企业,他们遭遇Web威胁的程度也就越严重,很多知名的大型企业往往成为黑客零日攻击和目标定点攻击的主要威胁目标。由于采用定向攻击的手法,这些病毒并不会大规模传播,普通病毒数据库也很难收集到它们的病毒样本。因此,这些定向攻击的病毒也就很难被防病毒软件侦测并查杀。
只有依靠提供量身定做的客制化病毒码,才能走在新病毒的前面,快速有效地进行病毒查杀,将未知威胁带来的危害降至最小。像趋势科技推出的针对未知威胁的主动式服务TMHD,可为企业量身打造客制化病毒码,满足不同企业的差异化网络安全需求。
另外,徐学龙表示,全球爆发大规模疫情的时代已经宣告结束,今后 Web威胁的数量将持续成长,并且越来越显现出“逐利性”,以窃取企业、个人用户的私密信息牟利为目的。新一代的Web威胁具备混合型、定向攻击和区域性爆发等特点,员工对互联网的依赖性使得公司网络比以往更加容易受到攻击。正因为如此,普通的浏览网页都变成了一件带有极大安全风险的事情。Web威胁可以在用户完全没有察觉的情况下进入网络,从而对公司数据资产、行业信誉和关键业务构成极大威胁。
由于Web威胁的发展越来越表现“逐利性”,而攻击的越是大型企业,黑客们所能够获得的收益也就越大。因此,越是大型的企业,他们遭遇Web威胁的程度也就越严重,很多知名的大型企业往往成为黑客零日攻击和目标定点攻击的主要威胁目标。由于采用定向攻击的手法,这些病毒并不会大规模传播,普通病毒数据库也很难收集到它们的病毒样本。因此,这些定向攻击的病毒也就很难被防病毒软件侦测并查杀。
只有依靠提供量身定做的客制化病毒码,才能走在新病毒的前面,快速有效地进行病毒查杀,将未知威胁带来的危害降至最小。像趋势科技推出的针对未知威胁的主动式服务TMHD,可为企业量身打造客制化病毒码,满足不同企业的差异化网络安全需求。
新技术威胁
根据世界上权威的Web安全与数据库安全研究组织OWASP提供的报告,目前对Web业务系统威胁最严重的两种攻击方式是SQL注入攻击和跨站脚本攻击。
SQL注入攻击
SQL注入的攻击原理是利用程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,导致入侵者可以通过恶意SQL命令的执行,获得数据读取和修改的权限。攻击者成功进行SQL注入后,会拥有整个系统的最高权限,可以修改页面、数据,在网页中添加恶意代码,危害极大。
SQL注入攻击的变种极多,有经验的攻击者会手动调整攻击参数,致使攻击数据的变种不胜枚举,这导致传统的特征匹配检测方法仅能识别相当少的攻击。
另外,此类攻击的实现过程非常简单。目前互联网上流行众多的SQL注入攻击工具,攻击者借助这些工具可很快对目标Web系统实施攻击和破坏。
上一篇:
下一篇:
下一篇:
 |
|
|
 |
 |
|
 |
|
|