|
Web安全防御技术探讨 |
如何有效地防御SQL注入攻击 |
|
|
|
 特征匹配检测难以识别SQL注入攻击 |
|
|
|
 |
| 从上图的例子中我们不难看出,只要随便把1改成其他任意数字,就是一次SQL注入的变种攻击。在这种情况下,常见的特征匹配技术不可能完全识别所有变种攻击,仅能识别其中很小一部分,可见采用这种方法来防御SQL注入攻击存在一定的局限性。 |
|
|
|
不看特征、看结果的SQL注入攻击最佳解决方案 |
|
|
|
| 解决思路:攻击特征虽然千变万化,但攻击造成某种现象相对一致 |
 |
|
|
|
VXID专利检测算法有效抵御各种Web攻击 |
|
|
|
 |
| VXID算法避免了传统产业界基于单纯模式匹配方法的大量漏报:攻击者的编码转换和关键字跨域都将无法躲避检测;也不会由于用户输入中包含关键字而产生误报。 |
|
| |
|
|
|
|
|
|
|
 |
|
概念: 利用应用程序(HTTP程序)漏洞,将恶意的SQL命令注入到后台数据库引擎并执行数据操作的能力。
危害: 在不经授权的情况下操作数据库中的数据、恶意篡改网页的内容、篡改管理员权限、网页挂马
威胁等级:★★★★ |
|
|
|
|
|
概念:利用HTTP程序漏洞在网页中加入恶意代码,当访问者浏览网页时恶意代码会被执行,从而获得访问者机密信息,如果访问者是管理人员则可以控制整个网站。
危害: 窃取网页访问者保存在终端的各种帐号、窃取网站管理员帐号、窃取与破坏网页访问者终端数据
威胁等级:★★★★★ |
|
|
|
|
|
拒绝服务攻击即攻击者想办法让目标机器停止提供服务或资源访问,是黑客常用的攻击手段。
特点:消耗网络资源、无法提供正常的网络服务功能
威胁等级:★★★★★ |
|
|
|
|
 |
技术基础 | |
|
|
|
应用方案 | |
|
| |