企业网站常见攻击及其应对策略.pdf

病毒黑客 服 务 企业网站常见攻击及其应对策略 桂友武，桂友超 （湖南工学院，湖南 衡阳 421000） 摘 要：企业网站会经常受到黑客的攻击，主要讨论常见的脚本漏洞、旁注、缓冲区溢出、分布式拒绝服务、解码攻击等五种 攻击方式及其应对策略。 关键词：脚本漏洞攻击；旁注攻击；缓冲区溢出攻击；分布式拒绝服务 Enterprise Website Common Attack and Should to the Strategy GUI You-wu, GUI You-chao (Hunan Institute of Technology ,Hengyang, Hunan 421000, China) Abstract: The enterprise website can come under hackers attack frequently. This article main discuss common Script Loophole Attack, Attack from Margent, Buffer Overflow Attack, DDoS, Decryption Attack and so on five forms of defensive action and should to the strategy. Key words: Script Loophole Attack;Attack from Margent; Buffer Overflow Attack;DDoS 随着Internet的发展，越来越多的企业开展了电子商 面友好，解决了网站内容管理复杂、维护难的问题，但它 务。但企业在享受电子商务带来的快捷便利的同时，也常 的源代码很容易在网上找到，让黑客攻击网站轻而易举。 常被非法访问入侵所困扰，黑客利用计算机系统或网络漏 应对策略是：不同的编程语言有不同的安全性要求， 洞成功攻击企业网站的事件屡有发生。目前，黑客对企业 以 ASP 为例，按照如下方法处理，编写严密的代码，建 网站的攻击方法主要有脚本漏洞、旁注、缓冲区溢出、分 立输入字符过滤的检查机制；凡涉及用户名与口令的程序 布式拒绝服务、解码攻击等，只有了解企业网站的各种攻 均封装在服务器端，尽量少在 ASP 文件里出现；涉及与 击方法、特征及产生的后果，对症下药加以防范，才能确 数据库连接的用户名与口令给予最小的权限，在理想状态 保企业网站的安全。 下只给它以执行存储过程的权限，不直接给予该用户修改、 插入、删除记录的权限；出现次数多的用户名与口令写在 1脚本漏洞攻击 一个位置比较隐蔽的包含文件中；过滤用户输入内容以防 这是针对企业网站使用最多的一种的攻击手段。企业 SQL 注入攻击；保护好网站的数据库，不把数据库名写 网站存在的脚本漏洞让黑客越来越猖狂、越来越低龄化和 在程序中，且用不规则的、非常规的名字给数据库文件命 傻瓜化。“在网上下载一个工具就可以黑站”，这就是脚本 名，并把它放在几层目录下。 漏洞的特点。脚本漏洞的主要成因是编程程序员的素质。 由于编写网页程序这个行业的入门门槛不高，程序员的水 2 旁注攻击 平及经验参差不齐，一部分程序员在编写ASP或PHP等 旁注是黑客对中小企业网站典型攻击手段之一。旁注 程序代码时，对字符的过滤不严密，对注入漏洞不了解， 又分为域名旁注和 IP 旁注。域名旁注攻击通过一个域名 或者某个参数忘记检查，没有对用户输入数据的合法性进