iT邦幫忙

2023 iThome 鐵人賽

DAY 18
0
Security

道德駭客新手入門系列 第 18

Day 18 網站伺服器入侵

  • 分享至 

  • xImage
  •  

網站伺服器

網站伺服器是一台電腦系統,通過超文本傳輸協議(HTTP)將網頁儲存、處理並傳遞給全球使用者。一般來說,使用者通過HTTP請求啟動通訊過程。當使用者希望訪問任何資源,如網頁、照片和影片時,使用者端的瀏覽器會生成一個HTTP請求,然後發送到網站伺服器。根據請求的內容,網頁伺服器從資料儲存或應用伺服器中收集所需的資訊/內容,並以適當的HTTP響應回應客戶端的請求。如果網站伺服器找不到所請求的資訊,那麼它會生成一條錯誤訊息。

網站根目錄與伺服器根目錄

網站根目錄 (Document root)

網站根目錄是網站伺服器上存放網頁文件的目錄。它是在網站伺服器配置文件中指定的目錄。當用戶訪問網站時,網站伺服器會在網站根目錄中查找相應的文件。

伺服器根目錄 (Server root)

伺服器根目錄是網站伺服器上的頂級目錄,其中存放了所有伺服器文件,包括配置文件、可執行文件和日誌文件。它是網站伺服器安裝和運行所在的目錄。

虛擬主機

虛擬主機是一種技術,可以讓多個網站在同一台網站伺服器上託管。允許網站共享相同的伺服器資源,例如 CPU 和記憶體,而不會相互干擾。

網站代理

網站代理是位於客戶端和網站伺服器之間的伺服器。它將所有來自客戶端的請求轉發到網站伺服器,然後將響應轉發回客戶端。網站代理可用於多種目的,例如緩存、安全性和性能改進。

開源網站伺服器架構

開源網站伺服器架構通常使用 Linux、Apache、MySQL 和 PHP,也被稱為 LAMP ,作為主要組件。

  • Linux 是網站伺服器的操作系統(OS)。
  • Apache 網站伺服器中處理每個 HTTP 請求和響應。
  • MySQL 是用於存儲網站伺服器內容的關聯式資料庫。
  • PHP 是用於生成動態網頁內容的應用層技術。

網站伺服器安全性問題

  1. 網站伺服器是託管網站的硬體/軟體應用程式,任何人可以透過網路進行訪問。
  2. 網站伺服器常被攻擊者以軟體漏洞和配置錯誤為目標。
  3. 配置不當的網站伺服器可能創建漏洞,危害整個系統的安全性。
  4. 組織必須採取網路安全措施(如防火牆、入侵檢測系統和入侵防禦系統)來保護網頁伺服器。
  5. 已知漏洞的網站伺服器可能會被攻擊者利用,對網站應用程式的安全性構成風險。

網站伺服器攻擊背後的常見目標

以下是一些常見的網站伺服器攻擊目標:

  • 使用釣魚技術竊取信用卡或其他敏感憑據
  • 將伺服器集成到殭屍網絡中以進行拒絕服務 (DoS) 或分佈式拒絕服務 (DDoS) 攻擊
  • 危害資料庫
  • 獲取閉源應用程序
  • 隱藏和重定向流量
  • 提升特權

一些攻擊是出於個人原因而進行的,而不是為了經濟利益:

  • 出於純粹的好奇心
  • 為了完成自我設定的智力挑戰
  • 損害目標組織的聲譽

網站伺服器攻擊的影響

網站伺服器攻擊可以對組織造成重大的財務和聲譽損失。網站伺服器攻擊的一些主要影響包括:

  • 資料洩露:攻擊者可以訪問儲存在網站伺服器上的敏感數據。然後可以出售在暗網上或用於犯下詐欺。
  • 服務中斷:DoS 攻擊可以使網站伺服器因流量過載而無法正常訪問。這可能導致收入損失和聲譽損害。
  • 網站毀損:攻擊者更改網站的外觀來傳播惡意軟體、宣傳或僅僅造成中斷。這可能會損害公司的品牌和聲譽。
  • 間接傷害 : 例如,資料洩露可能導致客戶對公司提起訴訟,或者 DoS 攻擊可能擾亂公司的供應鏈。

網站伺服器為什麼會被入侵?

網站伺服器之所以會被入侵,有以下幾個原因:

  • 技術複雜性:網站伺服器是具有廣泛功能和功能的複雜設備。這種複雜性可能使其難以安全配置和管理。
  • 針對性攻擊:網站伺服器經常被攻擊者鎖定,因為它們提供了一種獲得敏感資料或對其他系統發動攻擊的方法。
  • 軟體中的弱點:網站伺服器容易受到各種弱點的影響,例如緩衝區溢出和跨站腳本漏洞。這些弱點可被攻擊者利用來訪問網站伺服器或將惡意程式碼注入到網站中。
  • 人為錯誤:人為錯誤是網站伺服器被入侵的一個主要因素。這可能包括配置錯誤、敏感資料的錯誤處理以及點擊惡意鏈接

可能會導致網站伺服器被入侵的疏忽

  • 文件和目錄權限不正確
  • 使用默認設置安裝伺服器
  • 安全措施與易用性要求衝突
  • 缺乏適當的安全策略、程序和維護
  • 身份驗證不正確
  • 默認帳戶沒有密碼或密碼為默認值
  • 不必要的默認、備份或示例文件
  • 網站伺服器、作業系統和網路中的配置錯誤
  • 配置錯誤的加密設置
  • 網站伺服器上啟用測試功能
  • 使用自簽名證書和默認證書
  • 不使用專用伺服器進行網站服務

上一篇
Day 17 網路監聽 2
下一篇
Day 19 網站伺服器入侵 2
系列文
道德駭客新手入門30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言