网络攻击机制和技术发展综述

核心提示： 二、Web应用程序：首选目标日益增长的网络业务应用为脆弱的web应用提供了漏洞滋生的土壤，如银行、政府机构和在线商务企业都使用了web技术提供服务，网络攻击机制和技术发展综述(2)，这些机构往往自己开发整套的web应用程序(ASP、JSP和CGI等)，而这些开发者由于没有获得过专业训练，必

二、Web应用程序：首选目标

日益增长的网络业务应用为脆弱的web应用提供了漏洞滋生的土壤。如银行、政府机构和在线商务企业都使用了web技术提供服务。这些机构往往自己开发整套的web应用程序(ASP、JSP和CGI等)，而这些开发者由于没有获得过专业训练，导致这些自产软件漏洞百出。Web程序的开发者没有意识到，任何传递给浏览器的信息都可能被用户利用和操纵。不管用不用SSL(安全套接层)，恶意用户可以查看、修改或者插入敏感信息（包括价格、会话跟踪信息甚至是脚本执行代码）。攻击者可以通过状态操纵攻击或者SQL代码嵌入等技术危及电子商务网站的安全。

所谓状态操纵攻击(state manipulation), 是指攻击者通过在URL中修改传递给浏览器的敏感信息，隐藏表格元素和cookies，达到非法访问的目的。如果一个安全意识松懈的web开发者，他把数据存储在会话ID中，而没有考虑到价格和余额等关键数据的完整性保护，则攻击者完全可以修改这些数据。再加上如果web程序相信由浏览器传递过来的数据，那么攻击者完全可以窃取用户帐号、修改价格或者修改帐户余额。

所谓SQL代码嵌入(SQL injection)，是指攻击者在普通用户输入中插入数据库查询指令。这些问题相当多情况下是因为输入检验不严格和在错误的代码层中编码引起的，如对逗号”,”和分号”;”等。在这种情况下，攻击者可以对数据库进行查询、修改和删除等操作，在特定情况下，还可以执行系统指令。一般情况下，web网页上的用户名表单往往是这类攻击的入口。如果攻击者使用Proxy server执行这类操作，管理员将很难查到入侵者的来源。而要防止这类攻击，必须在自研软件开发程序上下手整治，形成良好的编程规范和代码检测机制，仅仅靠勤打补丁和安装防火墙是不够的。