易受黑客攻击的10个漏洞
点评:应用层的安全漏洞通常不象虫种或红色的邮件病毒如代码很容易得到广泛的传播,但他们也会带来很多问题,从偷窃产品或信息的网站完全瘫痪。确保网站的Web应用程序的安全不是一个简单的事情,和不幸的是,它的攻击的应用程序很容易。应用级安全漏洞通常不容易像病毒或蠕虫病毒种如红色代码传播,但同时也带来很多问题,从偷窃产品或信息完全瘫痪整个网站。它不保证网站的Web应用程序安全简单的一件事,不幸的是一个应用程序来攻击很容易。
一个黑客通常会花几个小时来熟悉Web应用程序,然后找出编程时留下的漏洞作为程序员编写的漏洞,然后通过浏览器恶意应用程序及其相关设备进行交互,造成大或小的损害。
为了防止这些问题,公司必须识别站点的弱点,然后关闭黑可能使用的漏洞。本文列举并解释了最容易被黑客攻击的网站漏洞。
找出问题所在
作为首席技术官的圣地,我已经帮助许多公司发现并修复Web应用的安全问题。密室还提供安全咨询服务和长期的防御技术和验证改进的网络安全工具,从而解决了大量的许多电子商务企业应用层的安全问题。
密室调查了超过100个顶级网站,模拟黑客攻击,发现超过百分之九十七的网站有严重的应用水平问题,打破只需要几个小时。密室检查通常被称为善意黑客
通过自动化所应用的脆弱性评估工具AppScan的使用,检察官来遍历整个网络,安全策略的识别网站的应用,找到目标网站的已知和未知的漏洞,那么黑客利用这些漏洞进行攻击的现场模拟,每一次成功的攻击,每个漏洞的严重程度进行评估,然后提交给公司一份详细的报告和修复建议。
常见的漏洞
几乎所有的密室检查发现,所有的网站都采用严格的网络级安全措施,如防火墙、加密,这仍使黑客入侵客户和公司。
1。饼干中毒——身份伪装
通过处理信息存储在浏览器的cookie,黑客伪装成一个合法的用户才能访问用户的信息。许多Web应用程序使用Cookie在客户端保存信息(用户身份、时间戳等)。由于Cookie通常是不加密的,黑客可以修改他们以便他们能欺骗应用程序通过这些有毒饼干。恶意用户可以访问其他人的账户,像一个真正的用户。
2。操纵隐藏字段——电子盗窃
黑客可以很容易地改变隐藏域的原始代码,改变产品的价格。这些字段通常用来保存客户端的会话信息,为了减少复杂的数据库处理工作在服务器端,因为电子商务的应用使用隐藏字段来保存商品的价格,检查人员看到的圣地网站的源代码,找到隐藏的字段,然后改变价格。没有人能在真实的环境中发现这些变化,该公司已在改变价格发送货物,甚至送折扣。
三.篡改参数——欺诈
这种技术改变网站的URL参数,许多Web应用程序无法确定嵌入超链接的CGI参数的正确性。比如,让信用卡使用500000元这么大的数额的限制,跳过网站的登陆地点和允许访问取消订单和客户信息。
4。缓冲区溢出——业务终止
通过使用某种形式的数据流,并用过多的信息超载服务器,黑客常常会崩溃服务器并关闭网站。
5。跨站点脚本——拦截信用
黑客向网站输入恶意代码,在目标服务器上运行一个看似无害和错误的脚本,这将使黑客能够完全访问所获取的文档,而服务器甚至可能向黑客发送数据。
6。后门和调试选项——入侵
在网站正式运行之前,程序员通常会在程序中留下调试选项,有时由于匆忙,他们忘记关闭这些漏洞,使黑客能够自由地访问敏感信息。
7。强制浏览——强力入侵
通过改变程序流程,黑客可以访问正常情况下不可用的信息和程序的某些部分,如日志文件、管理工具和Web应用程序的源代码。
8。暗藏的命令——秘密武器
黑客经常通过特洛伊木马植入危险指令,并通过恶意或未经授权的指令破坏站点。
9。第三方错误设置——削弱网站
一旦漏洞被公布和修订公共网站(如安全),黑客会意识到这些新的安全漏洞。例如,通过设置一个错误,一个黑客可以避免在网站上使用一个无效的入侵方法的一种新的数据库。
10。已知的漏洞-控制站点
每个网站使用的一些技术都有一些固有的缺陷,这将被一个坚持不懈的黑客使用,例如,微软的ASP技术可以用来获取管理员密码来控制整个站点。