企業(yè)計(jì)算機(jī)試用培訓(xùn)

企業(yè)計(jì)算機(jī)試用培訓(xùn)第一頁，共三十二頁，2022年，8月28日影響計(jì)算機(jī)正常使用有以下幾種情況一、計(jì)算機(jī)病毒計(jì)算機(jī)病毒是指編制的或者在計(jì)算機(jī)程序中插入的，能夠破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。主要目的是為了使計(jì)算機(jī)無法正常使用。二、計(jì)算機(jī)木馬計(jì)算機(jī)木馬是指隱藏在計(jì)算機(jī)后臺(tái)運(yùn)行的程序，主要目的不是使計(jì)算機(jī)無法正常運(yùn)行，而是竊取各種用戶信息，發(fā)送給木馬制作者，比如盜取QQ和各種游戲帳號(hào)。二、惡意軟件惡意軟件也就是我們常說的流氓軟件，“流氓軟件”是介于病毒和正規(guī)軟件之間的軟件。主要特征有自動(dòng)彈出廣告、瀏覽器劫持、收集用戶信息等。第二頁，共三十二頁，2022年，8月28日保障計(jì)算機(jī)安全之系統(tǒng)補(bǔ)丁計(jì)算機(jī)軟件總是存在漏洞，而漏洞往往為病毒木馬提供了傳播的途徑。實(shí)際上漏洞被發(fā)現(xiàn)后，軟件公司會(huì)制作補(bǔ)丁程序把漏洞修補(bǔ)好。在“我的電腦”圖標(biāo)上點(diǎn)擊鼠標(biāo)右鍵，“屬性”，來看我們系統(tǒng)的當(dāng)前版本。第三頁，共三十二頁，2022年，8月28日保障計(jì)算機(jī)安全之系統(tǒng)補(bǔ)丁微軟的WINDOWS系列操作系統(tǒng)的補(bǔ)丁程序情況：補(bǔ)丁版本是SP4，只提供重大漏洞補(bǔ)丁程序WINDOWSXP目前的補(bǔ)丁版本是SP3請(qǐng)立即更新你的系統(tǒng)，點(diǎn)擊“開始”，選擇

保證安裝所有的補(bǔ)丁程序，這是計(jì)算機(jī)安全的基礎(chǔ)。

第四頁，共三十二頁，2022年，8月28日病毒的分類

無害型：除了傳染時(shí)減少磁盤的可用空間外，對(duì)系統(tǒng)沒有其它影響。

無危險(xiǎn)型：這類病毒僅僅是減少內(nèi)存、顯示圖像、發(fā)出聲音及同類音響。

危險(xiǎn)型：這類病毒會(huì)在計(jì)算機(jī)系統(tǒng)操作中造成嚴(yán)重影響。

非常危險(xiǎn)型：這類病毒刪除程序、破壞數(shù)據(jù)、清除系統(tǒng)內(nèi)存區(qū)和操作系統(tǒng)中重要的信息，造成災(zāi)難性后果。

第五頁，共三十二頁，2022年，8月28日保障計(jì)算機(jī)安全之防病毒軟件防病毒軟件的誤區(qū)，大部分用戶知道安裝防病毒軟件的重要性，但往往忽略了以下問題：1、防病毒軟件不是正版，安裝后沒有效果2、一套正版防病毒軟件安裝若干臺(tái)機(jī)器，結(jié)果因?yàn)檐浖?jí)次數(shù)限制，大部分機(jī)器不能更新病毒庫3、安裝防病毒軟件后，從不升級(jí)病毒庫防病毒軟件需要最新的病毒庫支持，才能有效的保護(hù)你的計(jì)算機(jī)第六頁，共三十二頁，2022年，8月28日流氓軟件流氓軟件是中國(guó)大陸對(duì)網(wǎng)絡(luò)上散播的符合如下條件（主要是第一條）的軟件的一種稱呼：1、采用多種社會(huì)和技術(shù)手段，強(qiáng)行或者秘密安裝，并抵制卸載；2、強(qiáng)行修改用戶軟件設(shè)置，如瀏覽器主頁，軟件自動(dòng)啟動(dòng)選項(xiàng)，安全選項(xiàng)；強(qiáng)行彈出廣告，或者其他干擾用戶占用系統(tǒng)資源行為；3、有侵害用戶信息和財(cái)產(chǎn)安全的潛在因素或者隱患；4、未經(jīng)用戶許可，或者利用用戶疏忽,或者利用用戶缺乏相關(guān)知識(shí)，秘密收集用戶個(gè)人信息、秘密和隱私。這些軟件也可能被稱為惡意廣告軟件(adware)、間諜軟件(spyware)、惡意共享軟件(maliciousshareware)。與病毒或者蠕蟲不同，這些軟件很多不是小團(tuán)體或者個(gè)人秘密地編寫和散播，反而有很多知名企業(yè)和團(tuán)體涉嫌此類軟件。流氓軟件具備部分病毒和黑客特征，屬于正常軟件和病毒之間的灰色地帶。殺毒軟件一般不作處理。第七頁，共三十二頁，2022年，8月28日流氓軟件的主要特征流氓軟件可能造成電腦運(yùn)行變慢、瀏覽器異常等。多數(shù)流氓軟件具有以下特征：強(qiáng)迫性安裝：不經(jīng)用戶許可自動(dòng)安裝不給出明顯提示，欺騙用戶安裝反復(fù)提示用戶安裝，使用戶不勝其煩而不得不安裝無法卸載：正常手段無法卸載無法完全卸載頻繁彈出廣告窗口，干擾正常使用第八頁，共三十二頁，2022年，8月28日常見的流氓軟件3721中文實(shí)名CNNIC中文網(wǎng)址DuDu加速器網(wǎng)絡(luò)豬STD廣告發(fā)布系統(tǒng)千橡下屬網(wǎng)站淘寶網(wǎng)ebay易趣青娛樂聊天軟件（qyule）百度超級(jí)搜霸一搜工具條很棒小秘書第九頁，共三十二頁，2022年，8月28日保障計(jì)算機(jī)安全之防流氓軟件推薦安裝360安全衛(wèi)士下載非正版XP用戶，可以使用360安全衛(wèi)士的“修復(fù)系統(tǒng)漏洞”功能安裝系統(tǒng)補(bǔ)丁程序。推薦開啟360安全衛(wèi)士的保護(hù)功能中前2項(xiàng)保護(hù)：“惡意軟件入侵?jǐn)r截”和“惡意網(wǎng)站及釣魚網(wǎng)站攔截”第十頁，共三十二頁，2022年，8月28日木馬軟件木馬（Trojan）這個(gè)名字來源于古希臘傳說，它是指通過一段特定的程序（木馬程序）來控制另一臺(tái)計(jì)算機(jī)。木馬通常有兩個(gè)可執(zhí)行程序：一個(gè)是客戶端，即控制端，另一個(gè)是服務(wù)端，即被控制端。木馬的設(shè)計(jì)者為了防止木馬被發(fā)現(xiàn)，而采用多種手段隱藏木馬。木馬的服務(wù)一旦運(yùn)行并被控制端連接，其控制端將享有服務(wù)端的大部分操作權(quán)限，例如給計(jì)算機(jī)增加口令，瀏覽、移動(dòng)、復(fù)制、刪除文件，修改注冊(cè)表，更改計(jì)算機(jī)配置等。木馬軟件運(yùn)行后，會(huì)監(jiān)控你對(duì)計(jì)算機(jī)的操作，比較常見的有記錄QQ密碼以及各種網(wǎng)游帳號(hào)密碼等，有針對(duì)性的記錄下來，然后后臺(tái)發(fā)送給木馬使用者。第十一頁，共三十二頁，2022年，8月28日保障計(jì)算機(jī)安全之防木馬軟件可以點(diǎn)擊360安全衛(wèi)士的木馬防火墻對(duì)木馬進(jìn)行防護(hù)第十二頁，共三十二頁，2022年，8月28日保障計(jì)算機(jī)安全之防木馬軟件第十三頁，共三十二頁，2022年，8月28日保障計(jì)算機(jī)安全之防木馬軟件平時(shí)用360安全衛(wèi)士自帶的查殺木馬定期對(duì)電腦木馬進(jìn)行全盤掃描第十四頁，共三十二頁，2022年，8月28日ARP網(wǎng)絡(luò)攻擊地址轉(zhuǎn)換協(xié)議ARP（AddressResolutionProtocol）一種將ip轉(zhuǎn)化成以ip對(duì)應(yīng)的網(wǎng)卡的物理地址的一種協(xié)議，或者說ARP協(xié)議是一種將ip地址轉(zhuǎn)化成MAC地址的一種協(xié)議。它靠維持在內(nèi)存中保存的一張表來使ip得以在網(wǎng)絡(luò)上被目標(biāo)機(jī)器應(yīng)答。正常的計(jì)算機(jī)以及網(wǎng)絡(luò)設(shè)備定期發(fā)送ARP廣播，使網(wǎng)絡(luò)內(nèi)計(jì)算機(jī)的IP/MAC對(duì)應(yīng)表保持最新的狀態(tài)。ARP協(xié)議設(shè)計(jì)之初沒有考慮安全問題，所以任何計(jì)算機(jī)都可以發(fā)送虛假的ARP數(shù)據(jù)包。計(jì)算機(jī)A把自己的MAC和網(wǎng)關(guān)IP地址對(duì)應(yīng)的數(shù)據(jù)包發(fā)送出去，其它計(jì)算機(jī)就會(huì)把發(fā)送給網(wǎng)關(guān)的數(shù)據(jù)包發(fā)送給計(jì)算機(jī)A。第十五頁，共三十二頁，2022年，8月28日ARP攻擊過程典型的ARP攻擊原理為：中毒的計(jì)算機(jī)開始在局域網(wǎng)段發(fā)送虛假的IP/MAC對(duì)應(yīng)信息，篡改網(wǎng)關(guān)MAC地址，使自己成為假網(wǎng)關(guān)。計(jì)算機(jī)將數(shù)據(jù)包發(fā)送給假網(wǎng)關(guān)，假網(wǎng)關(guān)再把數(shù)據(jù)包轉(zhuǎn)發(fā)給真正的網(wǎng)關(guān)[網(wǎng)絡(luò)通]當(dāng)抓取的數(shù)據(jù)包到一定數(shù)量的時(shí)候，停止轉(zhuǎn)發(fā)數(shù)據(jù)包[網(wǎng)絡(luò)斷]假網(wǎng)關(guān)分析接受到的數(shù)據(jù)包，把有價(jià)值的數(shù)據(jù)包記錄下來（比如QQ以及網(wǎng)游登陸數(shù)據(jù)包），發(fā)送給病毒制作者。數(shù)據(jù)包分析完后（一般要幾分鐘），又開始抓取和轉(zhuǎn)發(fā)數(shù)據(jù)包[網(wǎng)絡(luò)通]ARP攻擊有一定的周期，使網(wǎng)絡(luò)時(shí)通時(shí)斷，造成用戶頻繁登陸QQ或者網(wǎng)游，從而增加抓取有價(jià)值數(shù)據(jù)包的幾率。為了掩蓋真網(wǎng)關(guān)的正常ARP廣播，假網(wǎng)關(guān)發(fā)送的ARP廣播是正常的數(shù)倍第十六頁，共三十二頁，2022年，8月28日防范病毒計(jì)算機(jī)網(wǎng)絡(luò)安全在于大家養(yǎng)成良好的使用習(xí)慣：外來光盤、U盤經(jīng)檢測(cè)確認(rèn)無毒后再使用。準(zhǔn)備有最新的病毒檢測(cè)、清除軟件。補(bǔ)丁一定要打全；及時(shí)更新殺毒軟件病毒庫并開啟監(jiān)控；盡量去一些比較大的站下載東西；不去不健康的的網(wǎng)站；不運(yùn)行不接受陌生人發(fā)送的網(wǎng)絡(luò)地址、圖片和程序;安裝軟件時(shí)看清楚再確定,不必要的插件不要安裝。第十七頁，共三十二頁，2022年，8月28日黑客攻擊之DDOS攻擊ddos，即分布式拒絕服務(wù)攻擊(distributeddenialofservice).簡(jiǎn)單的講，拒絕服務(wù)就是用超出被攻擊目標(biāo)處理能力的海量數(shù)據(jù)包消耗可用系統(tǒng)，帶寬源,致使網(wǎng)絡(luò)服務(wù)癱瘓，就相當(dāng)于必勝客在客滿的時(shí)候不再讓人進(jìn)去一樣，呵呵，你想吃餡餅，就必須在門口等吧。DOS攻擊即攻擊者想辦法讓目標(biāo)機(jī)器停止提供服務(wù)或資源訪問，這些資源包括磁盤空間、內(nèi)存、進(jìn)程甚至網(wǎng)絡(luò)帶寬，從而阻止正常用戶的訪問。

第十八頁，共三十二頁，2022年，8月28日幾種流行的DDOS攻擊當(dāng)前主要有三種流行的DDOS攻擊：

1、SYN/ACKFlood攻擊：這種攻擊方法是經(jīng)典最有效的DDOS方法，可通殺各種系統(tǒng)的網(wǎng)絡(luò)服務(wù)，主要是通過向受害主機(jī)發(fā)送大量偽造源IP和源端口的SYN或ACK包，導(dǎo)致主機(jī)的緩存資源被耗盡或忙于發(fā)送回應(yīng)包而造成拒絕服務(wù)，由于源都是偽造的故追蹤起來比較困難，缺點(diǎn)是實(shí)施起來有一定難度，需要高帶寬的僵尸主機(jī)支持。少量的這種攻擊會(huì)導(dǎo)致主機(jī)服務(wù)器無法訪問，但卻可以Ping的通，在服務(wù)器上用Netstat-na命令會(huì)觀察到存在大量的SYN_RECEIVED狀態(tài)，大量的這種攻擊會(huì)導(dǎo)致Ping失敗、TCP/IP棧失效，并會(huì)出現(xiàn)系統(tǒng)凝固現(xiàn)象，即不響應(yīng)鍵盤和鼠標(biāo)。普通防火墻大多無法抵御此種攻擊。

2、TCP全連接攻擊：這種攻擊是為了繞過常規(guī)防火墻的檢查而設(shè)計(jì)的，一般情況下，常規(guī)防火墻大多具備過濾TearDrop、Land等DOS攻擊的能力，但對(duì)于正常的TCP連接是放過的，殊不知很多網(wǎng)絡(luò)服務(wù)程序(如：IIS、Apache等Web服務(wù)器)能接受的TCP連接數(shù)是有限的，一旦有大量的TCP連接，即便是正常的，也會(huì)導(dǎo)致網(wǎng)站訪問非常緩慢甚至無法訪問，TCP全連接攻擊就是通過許多僵尸主機(jī)不斷地與受害服務(wù)器建立大量的TCP連接，直到服務(wù)器的內(nèi)存等資源被耗盡而被拖跨，從而造成拒絕服務(wù)，這種攻擊的特點(diǎn)是可繞過一般防火墻的防護(hù)而達(dá)到攻擊目的，缺點(diǎn)是需要找很多僵尸主機(jī)，并且由于僵尸主機(jī)的IP是暴露的，因此容易被追蹤。

第十九頁，共三十二頁，2022年，8月28日幾種流行的DDOS攻擊

3、刷Script腳本攻擊：這種攻擊主要是針對(duì)存在ASP、JSP、PHP、CGI等腳本程序，并調(diào)用MSSQLServer、MySQLServer、Oracle等數(shù)據(jù)庫的網(wǎng)站系統(tǒng)而設(shè)計(jì)的，特征是和服務(wù)器建立正常的TCP連接，并不斷的向腳本程序提交查詢、列表等大量耗費(fèi)數(shù)據(jù)庫資源的調(diào)用，典型的以小博大的攻擊方法。一般來說，提交一個(gè)GET或POST指令對(duì)客戶端的耗費(fèi)和帶寬的占用是幾乎可以忽略的，而服務(wù)器為處理此請(qǐng)求卻可能要從上萬條記錄中去查出某個(gè)記錄，這種處理過程對(duì)資源的耗費(fèi)是很大的，常見的數(shù)據(jù)庫服務(wù)器很少能支持?jǐn)?shù)百個(gè)查詢指令同時(shí)執(zhí)行，而這對(duì)于客戶端來說卻是輕而易舉的，因此攻擊者只需通過Proxy代理向主機(jī)服務(wù)器大量遞交查詢指令，只需數(shù)分鐘就會(huì)把服務(wù)器資源消耗掉而導(dǎo)致拒絕服務(wù)，常見的現(xiàn)象就是網(wǎng)站慢如蝸牛、ASP程序失效、PHP連接數(shù)據(jù)庫失敗、數(shù)據(jù)庫主程序占用CPU偏高。這種攻擊的特點(diǎn)是可以完全繞過普通的防火墻防護(hù)，輕松找一些Proxy代理就可實(shí)施攻擊，缺點(diǎn)是對(duì)付只有靜態(tài)頁面的網(wǎng)站效果會(huì)大打折扣，并且有些Proxy會(huì)暴露攻擊者的IP地址。第二十頁，共三十二頁，2022年，8月28日怎么抵御DDOS攻擊對(duì)付DDOS是一個(gè)系統(tǒng)工程，想僅僅依靠某種系統(tǒng)或產(chǎn)品防住DDOS是不現(xiàn)實(shí)的，可以肯定的是，完全杜絕DDOS目前是不可能的，但通過適當(dāng)?shù)拇胧┑钟?0%的DDOS攻擊是可以做到的，基于攻擊和防御都有成本開銷的緣故，若通過適當(dāng)?shù)霓k法增強(qiáng)了抵御DDOS的能力，也就意味著加大了攻擊者的攻擊成本，那么絕大多數(shù)攻擊者將無法繼續(xù)下去而放棄，也就相當(dāng)于成功的抵御了DDOS攻擊。以下幾點(diǎn)是防御DDOS攻擊幾點(diǎn)：

1、采用高性能的網(wǎng)絡(luò)設(shè)備首先要保證網(wǎng)絡(luò)設(shè)備不能成為瓶頸，因此選擇路由器、交換機(jī)、硬件防火墻等設(shè)備的時(shí)候要盡量選用知名度高、口碑好的產(chǎn)品。再就是假如和網(wǎng)絡(luò)提供商有特殊關(guān)系或協(xié)議的話就更好了，當(dāng)大量攻擊發(fā)生的時(shí)候請(qǐng)他們?cè)诰W(wǎng)絡(luò)接點(diǎn)處做一下流量限制來對(duì)抗某些種類的DDOS攻擊是非常有效的。

2、盡量避免NAT的使用無論是路由器還是硬件防護(hù)墻設(shè)備要盡量避免采用網(wǎng)絡(luò)地址轉(zhuǎn)換NAT的使用，因?yàn)椴捎么思夹g(shù)會(huì)較大降低網(wǎng)絡(luò)通信能力，其實(shí)原因很簡(jiǎn)單，因?yàn)镹AT需要對(duì)地址來回轉(zhuǎn)換，轉(zhuǎn)換過程中需要對(duì)網(wǎng)絡(luò)包的校驗(yàn)和進(jìn)行計(jì)算，因此浪費(fèi)了很多CPU的時(shí)間，但有些時(shí)候必須使用NAT，那就沒有好辦法了。第二十一頁，共三十二頁，2022年，8月28日怎么抵御DDOS攻擊

3、充足的網(wǎng)絡(luò)帶寬保證網(wǎng)絡(luò)帶寬直接決定了能抗受攻擊的能力，假若僅僅有10M帶寬的話，無論采取什么措施都很難對(duì)抗現(xiàn)在的SYNFlood攻擊，當(dāng)前至少要選擇100M的共享帶寬，最好的當(dāng)然是掛在1000M的主干上了。但需要注意的是，主機(jī)上的網(wǎng)卡是1000M的并不意味著它的網(wǎng)絡(luò)帶寬就是千兆的，若把它接在100M的交換機(jī)上，它的實(shí)際帶寬不會(huì)超過100M，再就是接在100M的帶寬上也不等于就有了百兆的帶寬，因?yàn)榫W(wǎng)絡(luò)服務(wù)商很可能會(huì)在交換機(jī)上限制實(shí)際帶寬為10M，這點(diǎn)一定要搞清楚。

4、升級(jí)主機(jī)服務(wù)器硬件在有網(wǎng)絡(luò)帶寬保證的前提下，請(qǐng)盡量提升硬件配置，要有效對(duì)抗每秒10萬個(gè)SYN攻擊包，服務(wù)器的配置至少應(yīng)該為：P42.4G/DDR512M/SCSI-HD，起關(guān)鍵作用的主要是CPU和內(nèi)存，若有志強(qiáng)雙CPU的話就用它吧，內(nèi)存一定要選擇DDR的高速內(nèi)存，硬盤要盡量選擇SCSI的，別只貪IDE價(jià)格不貴量還足的便宜，否則會(huì)付出高昂的性能代價(jià)，再就是網(wǎng)卡一定要選用3COM或Intel等名牌的，若是Realtek的還是用在自己的PC上吧。第二十二頁，共三十二頁，2022年，8月28日怎么抵御DDOS攻擊5、把網(wǎng)站做成靜態(tài)頁面大量事實(shí)證明，把網(wǎng)站盡可能做成靜態(tài)頁面，不僅能大大提高抗攻擊能力，而且還給黑客入侵帶來不少麻煩，至少到現(xiàn)在為止關(guān)于HTML的溢出還沒出現(xiàn)，看看吧!新浪、搜狐、網(wǎng)易等門戶網(wǎng)站主要都是靜態(tài)頁面，若你非需要?jiǎng)討B(tài)腳本調(diào)用，那就把它弄到另外一臺(tái)單獨(dú)主機(jī)去，免的遭受攻擊時(shí)連累主服務(wù)器，當(dāng)然，適當(dāng)放一些不做數(shù)據(jù)庫調(diào)用腳本還是可以的，此外，最好在需要調(diào)用數(shù)據(jù)庫的腳本中拒絕使用代理的訪問，因?yàn)榻?jīng)驗(yàn)表明使用代理訪問你網(wǎng)站的80%屬于惡意行為。

6、增強(qiáng)操作系統(tǒng)的TCP/IP棧

Win2000和Win2003作為服務(wù)器操作系統(tǒng)，本身就具備一定的抵抗DDOS攻擊的能力，只是默認(rèn)狀態(tài)下沒有開啟而已，若開啟的話可抵擋約10000個(gè)SYN攻擊包，若沒有開啟則僅能抵御數(shù)百個(gè)，具體怎么開啟，自己去看微軟的文章吧!《強(qiáng)化TCP/IP堆棧安全》。也許有的人會(huì)問，那我用的是Linux和FreeBSD怎么辦?很簡(jiǎn)單，按照這篇文章去做吧!《SYNCookies》。

7、安裝專業(yè)抗DDOS防火墻第二十三頁，共三十二頁，2022年，8月28日黑客攻擊之XSS

跨站腳本攻擊（也稱為XSS）指利用網(wǎng)站漏洞從用戶那里惡意盜取信息。用戶在瀏覽網(wǎng)站、使用即時(shí)通訊軟件、甚至在閱讀電子郵件時(shí)，通常會(huì)點(diǎn)擊其中的鏈接。攻擊者通過在鏈接中插入惡意代碼，就能夠盜取用戶信息。攻擊者通常會(huì)用十六進(jìn)制（或其他編碼方式）將鏈接編碼，以免用戶懷疑它的合法性。網(wǎng)站在接收到包含惡意代碼的請(qǐng)求之后會(huì)產(chǎn)成一個(gè)包含惡意代碼的頁面，而這個(gè)頁面看起來就像是那個(gè)網(wǎng)站應(yīng)當(dāng)生成的合法頁面一樣。許多流行的留言本和論壇程序允許用戶發(fā)表包含HTML和javascript的帖子。假設(shè)用戶甲發(fā)表了一篇包含惡意腳本的帖子，那么用戶乙在瀏覽這篇帖子時(shí)，惡意腳本就會(huì)執(zhí)行，盜取用戶乙的session信息。

第二十四頁，共三十二頁，2022年，8月28日用戶應(yīng)當(dāng)如何防范XSS保護(hù)自己的最好方法就是僅點(diǎn)擊你想訪問的那個(gè)網(wǎng)站上的鏈接。例如，如果你訪問了一個(gè)網(wǎng)站，該網(wǎng)站有一個(gè)鏈接指向了CNN，那么不要單擊該鏈接，而是訪問CNN的主站點(diǎn)并使用搜索引擎查找相關(guān)內(nèi)容。這樣可以杜絕90%以上的XSS攻擊。有時(shí)候XSS會(huì)在你打開電子郵件、打開附件、閱讀留言板、閱讀論壇時(shí)自動(dòng)進(jìn)行。當(dāng)你打開電子郵件或是在公共論壇上閱讀你不認(rèn)識(shí)的人的帖子時(shí)一定要注意。最好的解決辦法就是關(guān)閉瀏覽器的Javascript功能。在IE中可以將安全級(jí)別設(shè)置為最高，可以防止cookie被盜。第二十五頁，共三十二頁，2022年，8月28日黑客攻擊之SQL注入隨著B/S模式應(yīng)用開發(fā)的發(fā)展，使用這種模式編寫應(yīng)用程序的程序員也越來越多。但是由于程序員的水平及經(jīng)驗(yàn)也參差不齊，相當(dāng)大一部分程序員在編寫代碼的時(shí)候，沒有對(duì)用戶輸入數(shù)據(jù)的合法性進(jìn)行判斷，使應(yīng)用程序存在安全隱患。用戶可以提交一段數(shù)據(jù)庫查詢代碼，根據(jù)程序返回的結(jié)果，獲得某些他想得知的數(shù)據(jù)，這就是所謂的SQLInjection，即SQL注入。SQL注入是從正常的WWW端口訪問，而且表面看起來跟一般的Web頁面訪問沒什么區(qū)別，所以目前市面的防火墻都不會(huì)對(duì)SQL注入發(fā)出警報(bào)，如果管理員沒查看IIS日志的習(xí)慣，可能被入侵很長(zhǎng)時(shí)間都不會(huì)發(fā)覺。但是，SQL注入的手法相當(dāng)靈活，在注入的時(shí)候會(huì)碰到很多意外的情況。能不能根據(jù)具體情況進(jìn)行分析，構(gòu)造巧妙的SQL語句，從而成功獲取想要的數(shù)據(jù)SQL注入攻擊的總體思路是：l發(fā)現(xiàn)SQL注入位置；l判斷后臺(tái)數(shù)據(jù)庫類型；l確定XP_CMDSHELL可執(zhí)行情況l發(fā)現(xiàn)WEB虛擬目錄l上傳ASP木馬；l得到管理員權(quán)限；第二十六頁，共三十二頁，2022年，8月28日如何防御SQL注入既然SQL注入式攻擊的危害這么大，那么該如何來防治呢?下面這些建議或許對(duì)數(shù)據(jù)庫管理員防治SQL注入式攻擊有一定的幫助。

1、普通用戶與系統(tǒng)管理員用戶的權(quán)限要有嚴(yán)格的區(qū)分。如果一個(gè)普通用戶在使用查詢語句中嵌入另一個(gè)DropTable語句，那么是否允許執(zhí)行呢?由于Drop語句關(guān)系到數(shù)據(jù)庫的基本對(duì)象，故要操作這個(gè)語句用戶必須有相關(guān)的權(quán)限。在權(quán)限設(shè)計(jì)中，對(duì)于終端用戶，即應(yīng)用軟件的使用者，沒有必要給他們數(shù)據(jù)庫對(duì)象的建立、刪除等權(quán)限。那么即使在他們使用SQL語句中帶有嵌入式的惡意代碼，由于其用戶權(quán)限的限制，這些代碼也將無法被執(zhí)行。故應(yīng)用程序在設(shè)計(jì)的時(shí)候，最好把系統(tǒng)管理員的用戶與普通用戶區(qū)分開來。如此可以最大限度的減少注入式攻擊對(duì)數(shù)據(jù)庫帶來的危害。

2、強(qiáng)迫使用參數(shù)化語句。如果在編寫SQL語句的時(shí)候，用戶輸入的變量不是直接嵌入到SQL語句。而是通過參數(shù)來傳遞這個(gè)變量的話，那么就可以有效的防治SQL注入式攻擊。也就是說，用戶的輸入絕對(duì)不能夠直接被嵌入到SQL語句中。與此相反，用戶的輸入的內(nèi)容必須進(jìn)行過濾，或者使用參數(shù)化的語句來傳遞用戶輸入的變量。參數(shù)化的語句使用參數(shù)而不是將用戶輸入變量嵌入到SQL語句中。采用這種措施，可以杜絕大部分的SQL注入式攻擊。不過可惜的是，現(xiàn)在支持參數(shù)化語句的數(shù)據(jù)庫引擎并不多。不過數(shù)據(jù)庫工程師在開發(fā)產(chǎn)品的時(shí)候要盡量采用參數(shù)化語句。第二十七頁，共三十二頁，2022年，8月28日如何防御SQL注入

3、加強(qiáng)對(duì)用戶輸入的驗(yàn)證?？傮w來說，防治SQL注入式攻擊可以采用兩種方法，一是加強(qiáng)對(duì)用戶輸入內(nèi)容的檢查與驗(yàn)證;二是強(qiáng)迫使用參數(shù)化語句來傳遞用戶輸入的內(nèi)容。在SQLServer數(shù)據(jù)庫中，有比較多的用戶輸入內(nèi)容驗(yàn)證工具，可以幫助管理員來對(duì)付SQL注入式攻擊。測(cè)試字符串變量的內(nèi)容，只接受所需的值。拒絕包含二進(jìn)制數(shù)據(jù)、轉(zhuǎn)義序列和注釋字符的輸入內(nèi)容。這有助于防止腳本注入，防止某些緩沖區(qū)溢出攻擊。測(cè)試用戶輸入內(nèi)容的大小和數(shù)據(jù)類型，強(qiáng)制執(zhí)行適當(dāng)?shù)南拗婆c轉(zhuǎn)換。這即有助于防止有意造成的緩沖區(qū)溢出，對(duì)于防治注入式攻擊有比較明顯的效果。如可以使用存儲(chǔ)過程來驗(yàn)證用戶的輸入。利用存儲(chǔ)過程可以實(shí)現(xiàn)對(duì)用戶輸入變量的過濾，如拒絕一些特殊的符號(hào)。如以上那個(gè)惡意代碼中，只要存儲(chǔ)過程把那個(gè)分號(hào)過濾掉，那么這個(gè)惡意代碼也就沒有用武之地了。在執(zhí)行SQL語句之前，可以通過數(shù)據(jù)庫的存儲(chǔ)過程，來拒絕接納一些特殊的符號(hào)。在不影響數(shù)據(jù)庫應(yīng)用的前提下，應(yīng)該讓數(shù)據(jù)庫拒絕包含以下字符的輸入。如分號(hào)分隔符，它是SQL注入式攻擊的主要幫兇。如注釋分隔符。注釋只有在數(shù)據(jù)設(shè)計(jì)的時(shí)候用的到。一般用戶的查詢語句中沒有必要注釋的內(nèi)容，故可以直接把他拒絕掉，通常情況下這么做不會(huì)發(fā)生意外損失。把以上這些特殊符號(hào)拒絕掉，那么即使在SQL語句中嵌入了惡意代碼，他們也將毫無作為。故始終通過測(cè)試類型、長(zhǎng)度、格式和范圍來驗(yàn)證用戶輸入，過濾用戶輸入的內(nèi)容。這是防止SQL注入式攻擊的常見并且行之有效的措施。第二十八頁，共三十二頁，2022年，8月28日如何防御SQL注入4、多多使用SQLServer數(shù)據(jù)庫自帶的安全參數(shù)。為了減少注入式攻擊對(duì)于SQLServer數(shù)據(jù)庫的不良影響，在SQLServer數(shù)據(jù)庫專門設(shè)計(jì)了相對(duì)安全的SQL參數(shù)。在數(shù)據(jù)庫設(shè)計(jì)過程中，工程師要盡量采用這些參數(shù)來杜絕惡意的SQL注入式攻擊。如在SQLServer數(shù)據(jù)庫中提供了Parameters集合。這個(gè)集合提供了類型檢查和長(zhǎng)度驗(yàn)證的功能。如果管理員采用了Parameters這個(gè)集合的話，則用戶輸入的內(nèi)容將被視為字符值而不是可執(zhí)行代碼。即使用戶輸入的內(nèi)容中含有可執(zhí)行代碼，則數(shù)據(jù)庫也會(huì)過濾掉。因?yàn)榇藭r(shí)數(shù)據(jù)庫只把它當(dāng)作普通的字符來處理。使用Parameters集合的另外一個(gè)優(yōu)點(diǎn)是可以強(qiáng)制執(zhí)行類型和長(zhǎng)度檢查，范圍以外的值將觸發(fā)異常。如果用戶輸入的值不符合指定的類型與長(zhǎng)度約束，就會(huì)發(fā)生異常，并報(bào)告給管理員。如上面這個(gè)案例中，如果員工編號(hào)定義的數(shù)據(jù)類型為字符串型，長(zhǎng)度為10個(gè)字符。而用戶輸入的內(nèi)容雖然也是字符類型的數(shù)據(jù)，但是其長(zhǎng)度達(dá)到了20個(gè)字符。則此時(shí)就會(huì)引發(fā)異常，因?yàn)橛脩糨斎氲膬?nèi)容長(zhǎng)度超過了數(shù)據(jù)庫字段長(zhǎng)度的限制。第二十九頁，共三十二頁，2022年，8月28日如何防御SQL注入

5、多層環(huán)境如何防治SQL注入式攻擊?在多層應(yīng)用環(huán)境中，用戶輸入的所有數(shù)據(jù)都應(yīng)該在驗(yàn)證之后才能被允許進(jìn)入到可信區(qū)域。未通過驗(yàn)證過程的數(shù)據(jù)應(yīng)被數(shù)據(jù)庫拒絕，并向上一層返回一個(gè)錯(cuò)誤信息。實(shí)現(xiàn)多層驗(yàn)證。對(duì)無目的的惡意用戶采取的預(yù)防措施，對(duì)堅(jiān)定的攻擊者可能無效。更好的做法是在用戶界面和所有跨信任邊界的后續(xù)點(diǎn)上驗(yàn)證輸入。如在客戶端應(yīng)用程序中驗(yàn)證數(shù)據(jù)可以防止簡(jiǎn)單的腳本注入。但是，如果下一層認(rèn)為其輸入已通過驗(yàn)證，則任何可以繞過客戶端的惡意用戶就可以不受限制地訪問系統(tǒng)。故對(duì)于多層應(yīng)用環(huán)境，在防止注入式攻擊的時(shí)候，需要各層一起努力，在客戶端與數(shù)據(jù)庫端都要采用相應(yīng)的措施來防治SQL語句的注入式攻擊。

6、必要的情況下使用專業(yè)的漏洞掃描工具來尋找可能被攻擊的點(diǎn)。使用專業(yè)的漏洞掃描工具，可以幫助管理員來尋找可能被SQL注入式攻擊的點(diǎn)。不過漏洞掃描工具只能發(fā)現(xiàn)攻擊點(diǎn)，而不能夠主動(dòng)起到防御SQL注入攻擊的作用。當(dāng)然這個(gè)工具也經(jīng)常被攻擊者拿來使用。如攻擊者可以利用這個(gè)工具自動(dòng)搜索攻擊目標(biāo)并實(shí)施攻擊。為此在必要的情況下，企業(yè)應(yīng)當(dāng)投資于一些專業(yè)的漏洞掃描工具。一個(gè)完善的漏洞掃描程序不同于網(wǎng)絡(luò)掃描程序，它專門查找數(shù)據(jù)庫中的SQL注入式漏洞。最新的漏洞掃描程序可以查找最新發(fā)現(xiàn)的漏洞。所以憑借專業(yè)的工具，可以幫助管理員發(fā)現(xiàn)SQL注入式漏洞，并提醒管理員采取積極的措施來預(yù)防SQL注