网站对于现在中小企业来说是一个至关重要的一个网络形象,现在几乎没有企业不考虑建立自己网站进行产品展示或业务介绍的,然而并非所有网站都有非常高的网站安全管理人员来维护,有很多网站不会注意到网站的安全问题,只要网站能够通过网址访问正常打开自己的网站便就是认为自己网站是安全;其实网站攻击者并非一定要把某一个网站或你的网站弄得无法访问就是黑客/攻击的目的,往往更多的是为了“利益”才会攻击或修改网站,极少数黑客/攻击者不到不得已时才会选择直接攻击网站使之目标网站无法访问;比如政治风波产生区域组织性征对性的网络网站攻击,会使目标网站网络堵塞无法访问,普通正常情况下往往黑客/攻击者只需要悄悄地潜入到所攻击网站内少量的修改嵌入网站页内容便达到了目的。
普通情况的攻击目的
普通情况的攻击目的是在被攻击网站中嵌入写入广告代码这是常见的一种,另一种则是进行网站后台的数据/数据破坏或窃取有商业价值的数据,这两种情况均为普通情况下攻击的典型情况,最终目的都是为了“利益”。前者嵌入广告攻击者第一步是实现FTP密码用户名破解,获取到网站管理员权限之后实施代理广告嵌入,从而收取被广告客户费用,而被嵌入的网站只要一打开便自动的开始执行其广告,当然更多的是在攻击网站首页里写入广告链接,同时搜索引擎检索被攻击的网站是也会把嵌入进来的广告关键字作为网站的关键字进行检索。当在搜索引擎上键入和广告内容相近的关键字时被嵌入的网站也就自动的成攻击的广告代理网站了。
后者则是更加高一级的攻击,对网站后台数据窃取,被攻击对象除了电子商务型的网站数据之外,其他一切有可能利用的数据产生“利益”的数据,均有可能被攻击,这种攻击能够成功攻击窃取数据,往往要具备后台程序的结构原理深入研究才有可能成功,不同前一种可能利用一个第三方工具进行扫描窃取FTP网站的密码,坐着等待便有可能成功,后者难度要复杂的多,有庞大的数据库的网站一般都有完善的防御功能,在建网站Web程序系统时开发者就会把安全问题考虑到开发中来,攻击者的攻击动作极容易被发现。
防御
如何抵御网站被攻击,上面图片的嵌入黑链接,网站管理员警惕使用第三方网站下载的FTP上传工具,目前很多网站提供FTP上传工具链接下载FlashFXP、LeapFTP之类的软件,这类软件原著作开发都是英文版本,被攻击者利用的地方,给这类软件加以中文补丁程序时嵌入密码抓取程序,因此在网站上传时输入FTP用户名密码将轻松被攻击者窃取到网站的IP地址和FTP用户名密码;另一种测试批量爆破FTP,这种随机性的扫描获取,这种是服务器托管方的安全要做的事情,这类是服务器攻击。最后就是数据库攻击,对网站程序的核心数据攻击或窃取,这类在开发web系统时开发工程师经常会很小心的考虑防御数据库(如给数据的执行语句给以严格的条件限制),以上是目前网站攻击常见的方式。