攻擊者針對 Web 網頁的攻擊手段有哪些

攻擊者針對web網頁的攻擊手段有以下這些：

• 網站被“黑”：一種最廣為人知的攻擊方式是網站被“黑”式攻擊。這不僅是因為其結果是可見的，也是因為實施起來比較容易。網站的設計存在缺陷，使得代碼可以下載，這就允許攻擊者能夠獲取全部超文本文檔和在加載進程中與客戶相關的所有程序。攻擊者甚至可以看到編程者在創建或者維護代碼時遺留下來的注解。下載進程實質上為攻擊者提供了一份該網站的規劃圖。

• 緩沖區溢出：網頁也存在緩沖區溢出問題。攻擊者向一段程序中輸入大量數據，比其預期所要接收的數據多得多；由于緩沖區的大小是有限的，所以過剩的數據就會溢出到相鄰的代碼和數據區域中去。

• “../”問題：網頁服務器代碼應該一直在一個受到限制的環境中運行。在理想情況下，網頁服務器上應該沒有編輯器、Xterm和Telnet程序，甚至連絕大多數系統應用程序都不應該安裝。通過這種方式限制了網頁服務器的運行環境以后，即使攻擊者從網頁服務器的應用程序區跳到了別處，也沒有其他可執行程序可以幫助攻擊者使用網頁服務器所在的計算機和操作系統來擴大攻擊的范圍。用于網頁應用程序的代碼和數據可以采用手工方式傳送到網頁服務器。

• 應用代碼錯誤：用戶的瀏覽器與網頁服務器之間傳遞著一種復雜而且無狀態的協議交換。網頁服務器為了使自己的工作更輕松一些，向用戶傳遞一些上下文字符串，而要求用戶瀏覽器用全部上下文進行應答。一旦用戶可以修改這種上下文內容，就會出現問題。

• 服務器端包含：一種具有代表性的更嚴重的問題稱為服務器端包含（Server-Side Include）問題。該問題利用了一個事實：網頁中可以自動調用一個特定的函數。例如，很多頁面的最后都顯示了一個“請與我聯系”鏈接，并使用一些Web命令來發送電子郵件消息。這些命令（比如E-mail、if、goto和include等）都被置于某一個區域，以便轉換成HTML語言。

加強網頁服務器使用時安全的措施有以下這些

• 制定內部數據安全風險管理制度：制定公司內部數據泄露和其他類型的安全風險協議，包括分配不同部門以及人員管理賬號、密碼等權限，定期更新密碼避免被黑客盜取，以及其他可行措施。

• 及時更新軟件版本：及時更新軟件版本，以避免你的服務器安全處于危險之中，使其漏洞被黑客利用并入侵。使用專業的安全漏洞掃描程序是一種保持軟件實時更新的方式之一。

• 定期對服務器進行備份：為防止不能預料的系統故障或用戶不小心的非法操作，必須對系統進行安全備份。除了對全系統進行每月一次的備份外，還應對修改過的數據進行每周一次的備份。同時，應該將修改過的重要系統文件存放在不同服務器上，如果原始數據不幸損壞、丟失等情況發生時，你可以利用備份數據保證業務正常運行。

• 定期安全檢測：定期進行安全檢測，確保服務器安全，在非默認端口上設置標準和關鍵服務、保證防火墻處于最佳設置等，定期進行安全掃描，防止病毒入侵。

• 關閉不需要的服務和端口：服務器操作系統在安裝時，會啟動一些不需要的服務，這樣會占用系統的資源，而且也會增加系統的安全隱患。對于一段時間內完全不會用到的服務器，可以完全關閉。

• 安裝和設置防火墻：現在有許多基于硬件或軟件的防火墻，很多安全廠商也都推出了相關的產品。對服務器安全而言，安裝防火墻非常必要。這樣進入服務器中的流量都是經常防火墻過濾之后的流量，防火墻內其他的流量直接被隔離出來，防火墻中一定要安裝入侵檢測和入侵防御系統，這樣才能發揮防火墻的最大作用。在安裝防火墻之后，你需要根據自身的網絡環境，對防火墻進行適當的配置以達到最好的防護效果。

• 安裝網絡殺毒軟件：現在網絡上的病毒非常猖獗，這就需要安裝商業級反惡意軟件和反病毒引擎，對服務器進行實時保護。同時，在網絡殺毒軟件的使用中，必須要定期或及時升級殺毒軟件，并且每天自動更新病毒庫。

• 監測系統日志：通過運行系統日志程序，系統會記錄下所有用戶使用系統的情形，包括最近登錄時間、使用的賬號、進行的活動等。日志程序會定期生成報表，通過對報表進行分析，你可以知道是否有異常現象。

• 接入專業的高防服務：目前DDOS還沒有什么徹底解決的方法，只能通過專業的網絡高防服務進行防御。

回答所涉及的環境：聯想天逸510S、Windows 10。