Web安全威胁不可忽视？

      随着网络科技的发展和广泛应用，网络安全问题日益凸显。就比如像web它已不再只是信息发布，它已经融入到人们是日常的方方面面，不容忽视的是Web安全问题。

     现如今，Web的应用广泛迅速， Web 业务平台己经在企业内网、电子商务中得到广泛应用，许多企业都将应用架设在 Web 平台上， Web 业务的迅速发展渐渐也引起了黑客们的注意，他们将注意力从传统网络服务器的攻击逐步转移到了对 Web 业务的攻击上。          

       例如，黑客利用网站操作系统的漏洞和 Web 服务程序的 SQL 注入漏洞等得到 Web 服务器的控制权限，轻则篡改网页内容，重则窃取内部重要数据，更为严重的则是在网页中植入恶意代码，使得网站访问者受到侵害。他们往往是抓住一些令人感兴趣的东西来引诱用户的好奇心，潜入他们的PC，使得Web服务器或者浏览器的崩溃。结果，导致用户银行的资金被转移，公司的机密也被泄露出去了。往往这些表面的东西往往包含着恶意软件。

      总而言之，Web威胁的目标定位有多个维度:有个人、公司、还有某种行业，都有其考虑，甚至国家、地区、性别、种族、宗教等也成为发动攻击的原因或动机。 攻击还会采用多种形态，甚至是复合形态，出如病毒、蠕虫、特洛伊、闰谍软件、 僵尸、网络钓鱼电子邮件、漏洞利用、下载程序、社会工程、 rootkit、黑客，结果都可以导致用户信息受到侵害，或者导致用户所需的服务被拒绝和劫持。

      Web 威胁还可以分为内部攻击和外部攻击两类。前者主要来自信任网络，可能是用户执行了未授权访问或是无意中定制了恶意攻击；后者主要是由于网络漏洞被利用或者用户受到恶意程序制定者的专一攻击。

      据了解，以下这些可谓最具危险性的 Web 威胁。

      一、浏览器和浏览器插件的漏洞

      前一段时间有些专家建议我们不要使用IE 浏览器。其实其他的浏览器也并非坚不可摧，只是漏洞暂时还没出现或者说是攻击者对其关注的程度还不够高而己。不管哪种浏览器，攻击者都是可以利用其漏洞或其插件的漏洞将恶意软件下载并安装到用户计算机上，或者将用户指引到一个恶意站点。

      二、可信任站点的漏洞 

   我们都有这样的看法，大的知名网站是相对安全的。黑客们也知道这一点，他们会想方设法修改这些网站的网页，将用户的浏览器重新导向到其精心打造的恶意站点，这个恶意站点看起来还是非常可信的。但在用户向其中输入个人信息时，这些站点就会窃 取你的信息，有的还会在你的系统上种上点东西(如间谍软件等)，或者破坏你的邮件地址簿，肆意传播垃圾邮件等。

      三、终端用户

      许多攻击者都是从终端用户下手的。许多企业面临的威胁主要是由于其针对笔记本 电脑、桌面系统、服务器、未受保护的移动设备的安全策略不健全造成的。如空口令、 关闭防火墙等都是具体表现。

      四、网络钓鱼

      网络骗子伪造冒似金融网站的虚假站点欺骗消费者，伪造一个十分相似的网页来引诱消费者。它们还能够以金融公司作为伪装，在电子邮件中诱骗消费者输入其个人机密信息。 举个列子：

      首先，在IE浏览器的地址栏输入登录地址，如下图所示：

图1 示意图：登录银行

      然后，利用代理篡改返回的数据包，让它返回502错误（或其他错误），并插入一个iframe，让浏览器请求真实地址，同时插入一段如下所示的脚本：

图2 插入脚注

      这样就能读取iframe的内容，如下图所示：

 图3读取的iframe内容

      实际上，攻击者不仅能够读取该iframe的内容，还能够向该域进行提交。在真实的攻击环境中，攻击者可以读取防止跨站请求伪造令牌，实施跨站请求攻击，甚至截获用户名和密码。

      五、可移动的存储设备 

      由于U 盘、移动硬盘、 MP3、 MP4 等设备的便捷流行和使用，恶意软件也可以轻易地从外部的设备传输到网络系统中。此外，插到 iPod 中的插件也可以成为窃取系统数据的重要媒介。

       六、僵尸网络

       攻击者通过隐藏的程序控制大量的计算机系统并执行多任务，如发送垃圾邮件和发 动拒绝服务攻击等。

      七、多重攻击

      黑客使出"组合拳"即将多种战术结合在一起(如综合运用键盘记录程序、僵尸 网络、钓鱼等手段)来窃取用户的敏感信息。此外，攻击者还可以通过间谍软件窃取个人的机密信息，并能够通过垃圾邮件传播病毒、间谍软件、木马等。

      八、键盘记录程序

      黑客在用户的系统上安装可以记录用户击键的程序，并将记录的结果秘密地通过电子邮件发送到黑客的邮箱。

（以上这些威胁并不代表全部，因此我们都应当重视防范措施的多样性和多重性，不要依赖单纯的一种技术。）

      跨站脚本攻击（XSS）是什么呢？

     定义： XSS又叫CSS (Cross Site Script) 。最危险和最常见的安全漏洞之一，这个漏洞是通常用于执行cookie窃取、恶意软件传播,会话劫持,恶意重定向。

       分为三种类型：

       1.非持久性XSS。劫持链接。最常用，使用最广。带有恶意脚本代码参数的URL被HTML解析、执行。它的特点是非持久化，必须用户点击带有特定参数的链接才能引起。

       2.持久性XSS（存储性）。指的是恶意脚本代码被存储进被攻击的数据库。这种攻击类型通常在留言板等地方出现。

       3.基于 DOM 的 XSS。也称为”type-0 XSS”。它发生时， XSS 变量执行由 DOM 修改用户的浏览器网页的结果。在客户端的 HTTP 响应不会更改，但以恶意的方式执行的脚本。这这是最先进和最知名的type-0 XSS。大多数情况下，这个漏洞之所以存在是因为开发商不了解它是如何工作。

       预防： 

       1.过滤 HTML 标记。例如URL、HTTP引用对象、从表单中获取参数、表单 POST 的参数、window.location、document.referrer、document.location、document.url、document.urlunencoded。通过HtmlEncode()方法编码html。

       2.过滤编码特殊字符。例如且、单引号、双引号、下划线； &过滤为&   <过滤为 <    > 过滤为 >   ” 过滤为 "   ‘ 过滤为'   /过滤为/

       3.过滤主要的数据。例如cookie数据、标题数据、数据库中的数据。

      小结：Web 应用程序及 Web服务器往往很容易遭受各种各样的入侵， 在Web 数据在网络传输过程中也很容易被盗用或窃取。所以了解攻击者使用的典型方法和它们的目标，仔采用对策时就可以更加有效。

      小编结语：

   以上的是有关于Web安全威胁的小知识，主要向大家介绍Web威胁一些常见途径。如果大家有兴趣的话，记得要跟小编一起学习哟。请继续关注我们的网站：课课家教育。谢谢！