• 
    

    
    

      99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

      基于.net的應(yīng)用網(wǎng)絡(luò)平臺(tái)防注入安全設(shè)計(jì)

      2014-11-19 13:28:51周光軍蔡成軍祖卓紅楊帆劉建李穎
      電子技術(shù)與軟件工程 2014年20期
      關(guān)鍵詞:門戶安全

      周光軍 蔡成軍 祖卓紅 楊帆 劉建 李穎

      摘 要 隨著網(wǎng)絡(luò)應(yīng)用的普及與推廣,越來越多的網(wǎng)絡(luò)門戶平地而起,在各類門戶如此普及的現(xiàn)今社會(huì),門戶應(yīng)用層的安全問題被提升到了一個(gè)很高的關(guān)注層面,主要表現(xiàn)在數(shù)據(jù)庫的防注入、門戶站點(diǎn)頁面防篡改、防注冊(cè)機(jī)等類型的安全防護(hù),本文將在上述幾種安全問題中結(jié)合實(shí)際應(yīng)用做出相應(yīng)解決方案。

      【關(guān)鍵詞】門戶 安全 注入sqlserver .net

      無論何種技術(shù)的網(wǎng)絡(luò)平臺(tái),在internet環(huán)境中發(fā)布后均會(huì)面臨各類攻擊,特別是基于網(wǎng)頁篡改和數(shù)據(jù)庫的注入攻擊,多數(shù)靜態(tài)網(wǎng)頁面臨的攻擊為頁面篡改、站點(diǎn)文件刪除的攻擊,而各類數(shù)據(jù)庫站點(diǎn)的攻擊則重點(diǎn)體現(xiàn)在數(shù)據(jù)庫的注入攻擊方面,本文將結(jié)合實(shí)際開發(fā)過程中遇到的各類典型注入攻擊,在缺乏硬件設(shè)備保護(hù)的前提下,基于.net技術(shù),在非托管環(huán)境中所做出的技術(shù)解決方案進(jìn)行闡述。

      1 注入攻擊渠道及原理分析

      基于B/S結(jié)構(gòu)的網(wǎng)絡(luò)應(yīng)用門戶,http請(qǐng)求訪問方式多數(shù)為get、post兩種方式,程序中一般在cookie、form、request等請(qǐng)求中體現(xiàn),攻擊原理即是利用客戶端與服務(wù)器商的請(qǐng)求進(jìn)行的數(shù)據(jù)交互的功能發(fā)出含有如add、update、exec、drop、alter、exists、union、execute、xp_cmdshell、insert、sp_oacreate等功能性代碼的請(qǐng)求,如果一個(gè)網(wǎng)絡(luò)門戶在應(yīng)用層及數(shù)據(jù)庫層的安全防護(hù)功能不夠完善,則會(huì)被輕易地將一些與自己門戶無關(guān)的數(shù)據(jù)被迫允許性地存儲(chǔ)到服務(wù)器數(shù)據(jù)庫中,嚴(yán)重者會(huì)丟失非常重要的賬戶信息造成龐大的經(jīng)濟(jì)損失。

      2 注入攻擊手段及目的

      結(jié)合本部門近十年的網(wǎng)絡(luò)平臺(tái)運(yùn)維經(jīng)驗(yàn),注入攻擊手段上基本全是利用注入攻擊軟件不停地對(duì)網(wǎng)絡(luò)門戶進(jìn)行漏洞掃描,然后利用漏洞進(jìn)行非法指令請(qǐng)求進(jìn)行注入攻擊。

      攻擊目的多以謀取商業(yè)利益為主,主要是為了廣泛的發(fā)布企業(yè)的信息,擴(kuò)大企業(yè)相關(guān)信息在Internet中的發(fā)布量,提升客戶通過各大搜索引擎搜索的命中率,或者非法獲取相關(guān)的用戶賬號(hào)信息,進(jìn)行非法交易以謀取商業(yè)利益。

      3 注入攻擊的危害

      由于我部門運(yùn)維的網(wǎng)絡(luò)門戶為交互性門戶(非電子商務(wù)門戶,無在線支付交易功能),綜合與注入攻擊多年來的對(duì)抗反擊,總結(jié)出如下幾種危害:

      3.1 損耗硬件設(shè)備資源

      每遇到注入攻擊時(shí),服務(wù)器硬件資源損耗非常巨大,CPU使用率往往達(dá)到100%,內(nèi)存使用率也非常高,經(jīng)常導(dǎo)致不停止站點(diǎn)運(yùn)行就無法操作服務(wù)器的狀況。

      3.2 信息資源損失

      注入攻擊除添加新的數(shù)據(jù)記錄外,批量將現(xiàn)有數(shù)據(jù)字段內(nèi)容Update為非法注入內(nèi)容或非法腳本。導(dǎo)致原有數(shù)據(jù)未及時(shí)備份的情況下?lián)p失很多歷史數(shù)據(jù)。

      3.3 人力物力及經(jīng)濟(jì)損失

      由于我部門網(wǎng)絡(luò)平臺(tái)為會(huì)員制交互門戶,涉及到一些會(huì)員服務(wù)資費(fèi)問題,注入攻擊經(jīng)常會(huì)丟失重要數(shù)據(jù),導(dǎo)致售后人員及技術(shù)人員投入精力進(jìn)行數(shù)據(jù)恢復(fù)處理及網(wǎng)絡(luò)門戶修復(fù)處理,浪費(fèi)的時(shí)間和精力成本所帶來的經(jīng)濟(jì)損失無法估量。

      4 .Net防注入技術(shù)優(yōu)勢(shì)

      ASP.Net的Application_BeginRequest對(duì)預(yù)防注入功能作用非常大。在收到Request時(shí)第一個(gè)觸發(fā)的事件,這個(gè)方法第一個(gè)執(zhí)行,即,可以簡(jiǎn)單理解為:當(dāng)客戶端向服務(wù)器發(fā)現(xiàn)任何一個(gè)請(qǐng)求時(shí),首先觸發(fā)服務(wù)器端的“Application_BeginRequest”事件?;贏pplication_BeginRequest事件的優(yōu)勢(shì),解決方案如下文所述。

      5 面對(duì)攻擊的解決方案

      5.1 頁面篡改預(yù)防

      由于是非托管環(huán)境,我部門擁有自己的web服務(wù)器,在預(yù)防網(wǎng)頁被篡改方面,主要采取權(quán)限控制來實(shí)現(xiàn),即通過IIS相應(yīng)站點(diǎn)的“權(quán)限”打開安全設(shè)計(jì)窗口,對(duì)”everyone”與”Internet來賓賬戶”進(jìn)行只讀權(quán)限配置。

      5.2 數(shù)據(jù)庫層解決方案

      多年來綜合分析數(shù)據(jù)庫被注入基本是為了實(shí)現(xiàn)一個(gè)目的:注入可通過瀏覽頁面打開對(duì)方網(wǎng)站的代碼,即,當(dāng)用戶訪問瀏覽我部門運(yùn)維門戶時(shí),頁面內(nèi)容可直接嵌入或跳轉(zhuǎn)到指定網(wǎng)站。經(jīng)分析有如下關(guān)鍵詞的注入內(nèi)容“

      我方門戶使用的是sqlserver數(shù)據(jù)庫,針對(duì)該類注入,部門技術(shù)從數(shù)據(jù)庫層面利用sqlserver的Check約束,將以上關(guān)鍵詞代碼進(jìn)行了禁止入庫的約束,直接避免攻擊源掃描門戶獲取數(shù)據(jù)庫地址后直接對(duì)數(shù)據(jù)庫進(jìn)行注入攻擊。

      同時(shí),利用sqlserver的“SQL server代理”中的“作業(yè)”對(duì)數(shù)據(jù)庫進(jìn)行自動(dòng)備份,分別制定了日備份、周備份及月備份。

      5.3 應(yīng)用層解決方案

      門戶應(yīng)用層預(yù)防注入攻擊,主要是利用“Application_BeginRequest”事件的特點(diǎn),結(jié)合正則式技術(shù),研發(fā)了關(guān)鍵詞過濾模塊、訪問日志及IP黑名單模塊。

      關(guān)鍵詞可自主設(shè)定與擴(kuò)展,訪問日志主要記錄客戶端IP及訪問行為與頻率,但目前攻擊威脅還需人工通過日志的分析進(jìn)行分析,人工將問題用戶的IP列入到IP黑名單系統(tǒng)中永久禁止問題用戶向我部門門戶發(fā)出訪問題請(qǐng)求,計(jì)劃下一步開發(fā)出攻擊威脅預(yù)警功能,可自動(dòng)分析攻擊威脅并將可疑IP通過手機(jī)或email自動(dòng)傳送給門戶管理員。

      6 效果分析

      經(jīng)上述對(duì)注入攻擊預(yù)防功能的研發(fā),目前我部門運(yùn)維的網(wǎng)絡(luò)門戶近兩年完全有效預(yù)防了源于網(wǎng)絡(luò)的注入攻擊,經(jīng)濟(jì)成本與時(shí)間成本方面均獲得了很大的收益回報(bào)。

      作者單位

      建筑材料工業(yè)技術(shù)情報(bào)研究所網(wǎng)絡(luò)中心 北京市 100024

      猜你喜歡
      門戶安全
      關(guān)隘:要道門戶
      散文(2022年6期)2022-07-28 01:37:58
      西域門戶——兩關(guān)遺址
      基于內(nèi)外網(wǎng)門戶系統(tǒng)的研究
      電子制作(2018年10期)2018-08-04 03:24:34
      中小型高校圖書館門戶的設(shè)計(jì)與實(shí)現(xiàn)——以吉林師范大學(xué)圖書館門戶為例
      圖書館界(2013年6期)2013-03-11 18:50:40
      蚌埠市| 紫金县| 新余市| 和龙市| 方城县| 洛南县| 金乡县| 望江县| 冷水江市| 保德县| 黔江区| 新沂市| 高陵县| 措勤县| 县级市| 上栗县| 大埔县| 阆中市| 永德县| 罗定市| 澄江县| 民丰县| 南投市| 汶川县| 东兰县| 东城区| 白山市| 金坛市| 普安县| 宁明县| 永泰县| 太仆寺旗| 庐江县| 大英县| 彝良县| 临安市| 易门县| 龙川县| 丰都县| 抚顺市| 昂仁县|