2.常见的Web攻击与威胁

　　根据世界上最知名的Web安全与数据库安全研究组织OWASP提供的报告，目前对Web业务系统威胁最严重的两种攻击方式是SQL注入攻击和跨站脚本攻击，见图1所示。

　　

　　图1

　　1.SQL注入攻击

　　SQL注入的攻击原理是利用程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，导致入侵者可以通过恶意SQL命令的执行，获得数据读取和修改的权限。攻击者成功进行SQL注入后，会拥有整个系统的最高权限，可以修改页面、数据，在网页中添加恶意代码，危害极大。

　　SQL注入攻击具有如下特点：

　　变种极多，有经验的攻击者会手动调整攻击参数，致使攻击数据的变种是不可枚举的，这导致传统的特征匹配检测方法仅能识别相当少的攻击，难以防范。

　　攻击过程简单，目前互联网上流行众多的SQL注入攻击工具，攻击者借助这些工具可很快对目标WEB系统实施攻击和破坏。

　　危害大，由于WEB编程语言自身的缺陷以及具有安全编程能力的开发人员少之又少，大多数WEB业务系统均具有被SQL注入攻击的可能。而攻击者一旦攻击成功，可以对控制整个WEB业务系统，对数据做任意的修改，破坏力达到及至。

　　2.跨站脚本（XSS）攻击

　　不同于SQL注入以Web服务器为目标的攻击方式，跨站脚本攻击则是将目标指向了Web业务系统所提供服务的客户端。

　　跨站脚本攻击是通过在网页中加入恶意代码，当访问者浏览网页时恶意代码会被执行或者通过给管理员发信息的方式诱使管理员浏览，从而获得管理员权限，控制整个网站。攻击者利用跨站请求伪造能够轻松地强迫用户的浏览器发出非故意的HTTP请求，如诈骗性的电汇请求、修改口令和下载非法的内容等请求。

　　根据以往跨站脚本攻击的安全事件及产生的后果来看，跨站脚本攻击可导致的后果极其严重，影响面也十分之广，列举出一部分如下：

　　◆盗取各类用户帐号，如机器登录帐号、用户网银帐号、各类管理员帐号

　　◆控制企业数据，包括读取、篡改、添加、删除企业敏感数据的能力

　　◆盗窃企业重要的具有商业价值的资料

　　◆非法转账

　　◆强制发送电子邮件

　　◆网站挂马

　　◆控制受害者机器向其它网站发起攻击

　　……

　　跨站脚本攻击不仅威胁程度更大、威胁波及面更广，同时攻击过程也更加复杂多变，与SQL注入攻击检测类似，传统基于攻击特征匹配的方法收效甚微。

　　鉴于上述对Web业务系统常见攻击的分析，对Web业务系统的保护已经刻不容缓。安全学术界和产业界的研究机构和各大厂商也纷纷提出了识别和防御的措施和技术方案，力求为Web业务系统提供深层的安全防御。