2008年5月29日,陕西省地震信息网遭受到了恶意的黑客攻击,在陕西省地震信息网“四川汶川8.0级地震应急”栏目中赫然出现了一则关于“23时30分陕西各地会有强烈地震发生”的虚假信息和一条题为“网站出现重大安全漏洞”的警告信息。
相继陕西省地震信息网被恶意攻击后,广东省地震信息网也遭到恶意攻击,甚至连四川重灾区的地震信息网也被非法入侵者破坏,这些网站都是属于国家机关的政府网站,在汶川大地震这样举国悲痛的时刻,竟然有人利用自己的一点黑客技术去在陕西省地震信息网上恶意散布地震谣言,蛊惑人心,究竟是什么动机让这些“网络黑客”做出如此令人发指的事情呢?静下心来思考,除去那些破坏者扭曲的心理,作为网站核心的Web应用程序本身漏洞重重,加上网站管理人员脆弱的网络安全意识,这才会让攻击者有机可乘,网络安全的警钟再一次对我们每一个人敲响。
后来,有新闻记者采访了其中一位被公安机关抓获的网络攻击者,当问到他是利用什么技术攻击网站的时候,这位所谓的“黑客”说道:“其实也没有什么,那个网站的漏洞太明显了。”一句简单的回答,对于一个普通的人来说太令人感到困惑,究竟这些黑客到底是怎样找出网站上Web应用程序中的漏洞,又是怎样利用这些漏洞攻击网络服务器的,这些问题都是一个谜。而对于那些维护网站安全的管理人员来说,他们更渴望知道自己的程序究竟在哪里出现了问题,自己怎样做才能防止此类事情再度发生,防患于未然。
管理学中的木桶原理告诉我们:一个木桶由许多块木板组成,如果组成木桶的这些木板长短不一,那么木桶的最大容量不取决于长的木板,而取决于最短的那块木板。这个原理同样适用于信息安全。一个结构的信息安全水平将由与信息安全有关的所有环节中最薄弱的环节决定。安全就像是水,木桶就像是需要安全保护的网络环境,一个可以用来装水的木桶,必须保证木桶上的每一块挡板长度都要一样,不然,一旦我们想要给木桶装满水的时候,水就会从最短的那一块挡板上面流出,那就意味着安全问题将会从木桶上最短的一块挡板上发生。
SQL注入
SQL注入(SQL Injection),应用程序在向后台数据库传递SQL(Structured Query Language,结构化查询语言)时,攻击者将SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。
XSS
XSS(Cross Site Scripting),跨站脚本攻击。为和层叠样式表(Cascading Style Sheets,CSS)区分开,跨站脚本在安全领域叫做“XSS”。恶意攻击者往Web页面里注入恶意Script代码,当用户浏览这些网页时,就会执行其中的恶意代码,可对用户进行盗取cookie信息、会话劫持等各种攻击。XSS是常见的Web攻击技术之一,由于跨站脚本漏洞易于出现且利用成本低,所以被OWASP列为当前的头号Web安全威胁。
CRSF
登录网站A,生成本地Cookie信息;登录危险网站B,B获取网站A的内容,并向A发送请求操作,若成功,则CRSF过程成功。其中登录B网站,行为可以是点击网站A中的链接链接。
DOS
DoS即DenialOfService,拒绝服务的缩写。DoS攻击是指故意的攻击网络协议实现的缺陷或直接通过野蛮手段残忍地耗尽被攻击对象的资源,目的是让目标计算机或网络无法提供正常的服务或资源访问,使目标系统服务系统停止响应甚至崩溃,而在此攻击中并不包括侵入目标服务器或目标网络设备。这些服务资源包括网络带宽,文件系统空间容量,开放的进程或者允许的连接。这种攻击会导致资源的匮乏,无论计算机的处理速度多快、内存容量多大、网络带宽的速度多快都无法避免这种攻击带来的后果。
DDOS
分布式拒绝服务(Distributed Denial of service)简称DDOS,很多DOS攻击源一起攻击某台服务器就组成了DDOS攻击,攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DoS攻击,从而成倍地提高拒绝服务攻击的威力。通常,攻击者使用一个偷窃帐号将DDoS主控程序安装在一个计算机上,在一个设定的时间主控程序将与大量代理程序通讯,代理程序已经被安装在Internet上的许多计算机上,代理程序收到指令时就发动攻击。
