谢娜很神经:Web应用安全:黑客攻击的十大诱因 - 系统攻防 - 360论坛
来源:百度文库 编辑:九乡新闻网 时间:2024/04/28 00:14:43
【好学者】
1.桌面漏洞
Internet Explorer、Firefox和Windows操作系统中包含很多可以被黑客利用的漏洞,特别是在用户经常不及时安装补丁的情况下。黑客会利用这些漏洞在不经用户同意的情况下自动下载恶意软件代码——也称作隐藏式下载。
2.服务器漏洞
由于存在漏洞和服务器管理配置错误,Internet Information Server(IIS)和Apache网络服务器经常被黑客用来攻击。
3.Web服务器虚拟托管
同时托管几个甚至数千个网站的服务器也是恶意攻击的目标。
4.显性/开放式代理
被黑客控制的计算机可以被设置为代理服务器,躲避URL过滤对通信的控制,进行匿名上网或者充当非法网站数据流的中间人。
5.HTML可以从网页内完全不同的服务器嵌入对象
用户可以从特定网站请求浏览网页,只自动地从Google分析服务器等合法网站下载对象;广告服务器;恶意软件下载网站;或6.普通用户对安全状况不了解
多数用户不了解三种SSL浏览器检查的原因;不了解如何验证所下载程序的合法性;不了解计算机是否不正常;在家庭网络内不使用防火墙;也不知道如何 区分钓鱼网页和合法网页。
7.移动代码在网站上被广泛使用
在浏览器中禁用JavaScript、Java applets、。NET应用、Flash或ActiveX似乎是个好主意,因为它们都会在您的计算机上自动执行脚本或代码,但是如果禁用这些功能,很多网站可能无法浏览。这为编码糟糕的Web应用开启了大门,它们接受用户输入并使用Cookies,就像在跨站点脚本(XSS)中一样。在这种情况下,某些需要访问与其他开放页面的数据(Cookies)Web应用会出现混乱。任何接受用户输入的Web应用(博客、Wikis、评论部分)可能会在无意中接受恶意代码,而这些恶意代码可以被返回给其他用户,除非用户的输入被检查确认为恶意代码。
8.全天候高速宽带互联网接入的广泛采用
多数企业网络都受防火墙的保护,而无网络地址转换(NAT)防火墙的家庭用户很容易受到攻击而丢失个人信息;充当分布式拒绝访问服务(DDOS)的僵尸计算机;安装托管恶意代码的Web服务器——家庭用户可能不会对这些状况有任何怀疑。
9.对HTTP和HTTPS的普遍访问
访问互联网必须使用Web,所有计算机都可以通过防火墙访问HTTP和HTTPS(TCP端口80和443)。可以假定所有计算机都能够访问外部网络。很多程序都通过HTTP访问互联网,例如IM和P2P软件。此外,这些被劫持的软件打开了发送僵尸网络命令的通道。
10.在邮件中采用嵌入式HTML
由于SMTP电子邮件网关会在一定程度上限制可以邮件的发送,黑客已经不经常在电子邮件中发送恶意代码。相反,电子邮件中的HTML被用于从Web上获取恶意软件代码,而用户可能根本不知道已经向可以网站发送了请求。者被重新导向至恶意软件网站。
系统攻防版主
金币:1537
经验:8939
等级:高中二年级
功勋:14
[心得] Web应用安全:黑客攻击的十大诱因
Web遭遇攻击原因细说起来应该是不止这十种的,本文只是介绍了其中比较重点和主要的原因与大家分享。Web攻击被黑客利用的原因如下:1.桌面漏洞
Internet Explorer、Firefox和Windows操作系统中包含很多可以被黑客利用的漏洞,特别是在用户经常不及时安装补丁的情况下。黑客会利用这些漏洞在不经用户同意的情况下自动下载恶意软件代码——也称作隐藏式下载。
2.服务器漏洞
由于存在漏洞和服务器管理配置错误,Internet Information Server(IIS)和Apache网络服务器经常被黑客用来攻击。
3.Web服务器虚拟托管
同时托管几个甚至数千个网站的服务器也是恶意攻击的目标。
4.显性/开放式代理
被黑客控制的计算机可以被设置为代理服务器,躲避URL过滤对通信的控制,进行匿名上网或者充当非法网站数据流的中间人。
5.HTML可以从网页内完全不同的服务器嵌入对象
用户可以从特定网站请求浏览网页,只自动地从Google分析服务器等合法网站下载对象;广告服务器;恶意软件下载网站;或6.普通用户对安全状况不了解
多数用户不了解三种SSL浏览器检查的原因;不了解如何验证所下载程序的合法性;不了解计算机是否不正常;在家庭网络内不使用防火墙;也不知道如何 区分钓鱼网页和合法网页。
7.移动代码在网站上被广泛使用
在浏览器中禁用JavaScript、Java applets、。NET应用、Flash或ActiveX似乎是个好主意,因为它们都会在您的计算机上自动执行脚本或代码,但是如果禁用这些功能,很多网站可能无法浏览。这为编码糟糕的Web应用开启了大门,它们接受用户输入并使用Cookies,就像在跨站点脚本(XSS)中一样。在这种情况下,某些需要访问与其他开放页面的数据(Cookies)Web应用会出现混乱。任何接受用户输入的Web应用(博客、Wikis、评论部分)可能会在无意中接受恶意代码,而这些恶意代码可以被返回给其他用户,除非用户的输入被检查确认为恶意代码。
8.全天候高速宽带互联网接入的广泛采用
多数企业网络都受防火墙的保护,而无网络地址转换(NAT)防火墙的家庭用户很容易受到攻击而丢失个人信息;充当分布式拒绝访问服务(DDOS)的僵尸计算机;安装托管恶意代码的Web服务器——家庭用户可能不会对这些状况有任何怀疑。
9.对HTTP和HTTPS的普遍访问
访问互联网必须使用Web,所有计算机都可以通过防火墙访问HTTP和HTTPS(TCP端口80和443)。可以假定所有计算机都能够访问外部网络。很多程序都通过HTTP访问互联网,例如IM和P2P软件。此外,这些被劫持的软件打开了发送僵尸网络命令的通道。
10.在邮件中采用嵌入式HTML
由于SMTP电子邮件网关会在一定程度上限制可以邮件的发送,黑客已经不经常在电子邮件中发送恶意代码。相反,电子邮件中的HTML被用于从Web上获取恶意软件代码,而用户可能根本不知道已经向可以网站发送了请求。者被重新导向至恶意软件网站。
加入360督导委员会 参与全民护安全! 360论坛编辑部火热招聘ing
360安全卫士是当前功能最强、效果最好、最受用户欢迎的上网必备安全软件。360安全卫士拥有查杀木马、清理插件、修复漏洞、电脑体检等多种功能,并独创了“木马防火墙”功能,依靠抢先侦测和云端鉴别,可全……
中华小医生
金币:15
经验:111
等级:小学一年级
功勋:无
Web应用安全:黑客攻击的十大诱因 - 系统攻防 - 360论坛
Web应用防火墙 建立安全的第一道防线 - 系统攻防 - 360论坛
电脑防止被攻击的安全准则 - 系统攻防 - 360论坛
被ARP攻击的通用解决办法 - 系统攻防 - 360论坛
WEB安全防护新思路:双重保护、立体防御 - 系统攻防 - 360论坛
【技术】网络监听攻击技术 - 系统攻防 - 360论坛
【转载】ASP网站漏洞的攻击原理及防御办法 - 系统攻防 - 360论坛
防御黑客攻击的十大方法
办公人员必须懂得的一些计算机信息与安全技巧 - 系统攻防 - 360论坛
【菜鸟入门】--常用的八种安全工具使用及防御方法 - 系统攻防 - 360论坛
ADSL上网用户 防御黑客攻击的十大方法
教你摆脱黑客攻击的十大方法
教你摆脱黑客攻击的十大方法
ADSL上网用户 防御黑客攻击的十大方法
安全探讨:如何应对网络世界信息安全危机 - 系统攻防 - 360论坛
Windows系统摆脱黑客攻击的方法
系统攻防新闻【第四期】 - 系统攻防 - 360论坛
【转载】ping命令的高级用法 - 系统攻防 - 360论坛
网络安全的八个“潜规则” - 系统攻防 - 360论坛
识别病毒的几种方法 - 系统攻防 - 360论坛
DOS命令 - 系统攻防 - 360论坛
计算机管理 - 系统攻防 - 360论坛
组策略 - 系统攻防 - 360论坛
怎样编程序 - 系统攻防 - 360论坛