企业网站常见问题之web安全漏洞

随着Web2.0、社交网络、微博等等一系列新型的互联网产品的诞生，基于Web环境的互联网应用越来越广泛，企业信息化的过程中各种应用都架设在Web平台上，Web业务的迅速发展也引起黑客们的强烈关注，接踵而至的就是Web安全威胁的凸显。

黑客利用网站操作系统的漏洞和Web服务程序的SQL注入漏洞等得到Web服务器的控制权限，轻则篡改网页内容，重则窃取重要内部数据，更为严重的则是耗尽Web服务器资源的DDoS攻击。这也使得越来越多的用户开始关注应用层的DDoS问题。

根据华为安全能力中心统计，针对Web服务攻击占攻击总量的67.71%，攻击方式主要集中在SYN Flood、HTTP Get Flood、CC攻击、重传攻击等方面，Web服务仍是DDOS主要攻击目标。

此类攻击利用应用协议的自身设计缺陷发送精心构造的应用报文，或通过智能的应用交互来耗尽系统性能。目前易受攻击的应用服务器主要集中在HTTP，DNS，HTTPS和SIP。著名的SSL-DDoS攻击就是以不断的SSL密钥重协商来耗尽HTTPS服务器性能的一种攻击。

由于此类攻击发起者往往都支持完整的传输层协议栈，所以对攻击防范也提出了更多挑战。

就拿业界流行的CC攻击举例，这类攻击者往往会使用一些手段来隐藏发起攻击的傀儡网络或防止攻击被轻易识别。比如伪造攻击报文源IP、利用网络中大量的代理服务器、随机变化字段等方式。

CC攻击的攻击技术含量低，利用工具和一些IP代理，一个初、中级的电脑水平的用户就能够实施攻击。不过，如果了解了CC攻击的原理，那就不难针对CC攻击实施一些有效的防范措施。