第3章
對Web應用程序入侵及防范技術

目前很多業務都依賴于互聯網，如網上銀行、網絡購物、網游等，很多惡意攻擊者出于不良的目的對Web應用程序進行攻擊，想方設法通過各種手段獲取他人的個人賬戶信息謀取利益。正是因為這樣，Web應用程序最容易遭受攻擊。

一方面，由于TCP/IP的設計沒有考慮安全問題，這使得在網絡上傳輸的數據沒有任何安全防護。攻擊者可以利用系統漏洞造成系統進程緩沖區溢出，攻擊者可能獲得或者提升自己在有漏洞的系統上的用戶權限來運行任意程序，甚至安裝和運行惡意代碼，竊取機密數據。而應用層面的軟件在開發過程中也沒有過多考慮安全的問題，這使得程序本身存在很多漏洞，諸如緩沖區溢出、SQL注入等流行的應用層攻擊，這些均屬于在軟件研發過程中疏忽了對安全的考慮所致。

另一方面，用戶對某些隱秘的東西帶有強烈的好奇心，一些利用木馬或病毒程序進行攻擊的攻擊者，往往就是利用了用戶的這種好奇心理，將木馬或病毒程序捆綁在一些艷麗的圖片、音視頻及免費軟件等文件中，然后把這些文件置于某些網站當中，再引誘用戶去單擊或下載運行。或者通過電子郵件附件和QQ、微信等即時聊天軟件，將這些捆綁了木馬或病毒的文件發送給用戶，利用用戶的好奇心理引誘用戶打開或運行這些文件。

同時，對Web應用程序的攻擊也可以說是形形色色、種類繁多，常見的有metasploit攻擊、欺騙攻擊、緩沖區溢出、嗅探、利用IIS等針對Web Server漏洞進行攻擊等。我們只有做到“知己知彼”，才能“防患于未然”。