3.2 中間人攻擊
中間人攻擊是另一種網(wǎng)絡(luò )攻擊手段。攻擊者通過(guò)攔截正常的網(wǎng)絡(luò )通信數據。并進(jìn)行數據篡改和嗅探,而通信的雙方卻毫不知情。在網(wǎng)絡(luò )通信中,如果安全套接字層(SSL)沒(méi)有正確配置,那么這個(gè)風(fēng)險問(wèn)題就有可能發(fā)生。例如,如果通信雙方正在進(jìn)行信息交互,而SSL沒(méi)有正確地安裝,那么所有雙方之間的數據通信,都有可能被黑客侵入獲取。針對這種攻擊手段,可以采用的應對措施是正確地安裝配置SSL。而且使用通信前應由第三方權威機構對SSL的安裝配置進(jìn)行檢查確認。
3.3 網(wǎng)絡(luò )嗅探
網(wǎng)絡(luò )嗅探原先是網(wǎng)絡(luò )管理員用來(lái)查找網(wǎng)絡(luò )漏洞和檢測網(wǎng)絡(luò )性能的一種工具,但是到了黑客手中,它變成了一種網(wǎng)絡(luò )攻擊手段,造成了一個(gè)更為嚴峻的網(wǎng)絡(luò )安全問(wèn)題。例如,在通信過(guò)程中,由于數據密碼設置過(guò)于簡(jiǎn)單或未設置,導致被黑客破解,那么未加密的數據便被黑客通過(guò)網(wǎng)絡(luò )攻擊獲取。如果通信雙方?jīng)]有使用加密技術(shù)來(lái)保護數據安全性。那么攻擊者作為第三方便可以在通信雙方的數據傳輸過(guò)程中竊取到數據信息。針對這種攻擊手段,可以采用的應對策略是通信各方使用加密技術(shù)及方法,確保數據在傳輸過(guò)程中安全。
3.4 端口掃描
端口掃描也是一種常見(jiàn)的網(wǎng)絡(luò )攻擊方法,攻擊者通過(guò)向目標服務(wù)器發(fā)送一組端口掃描消息。并從返回的消息結果中探尋攻擊的弱點(diǎn)。應用服務(wù)器總是開(kāi)放著(zhù)各類(lèi)端口應
用,例如80端口(HTTP)是為了給用戶(hù)提供Web應用服務(wù),再如21端口(FTP)是為了給用戶(hù)提供n甲應用服務(wù)的。這些端口總是一直處于打開(kāi)狀態(tài),應該在需要的時(shí)候打開(kāi)。并且應該對端口進(jìn)行加密。針對此類(lèi)攻擊,可以啟用防火墻來(lái)保護數據信息免遭端口攻擊。
3.5 SQL注入攻擊
SQL注入是一種安全漏洞,利用這個(gè)安全漏洞,攻擊者可以向網(wǎng)絡(luò )表格輸入框中添加SQL代碼以獲得訪(fǎng)問(wèn)權。在這種攻擊中。攻擊者可以操縱基于Web界面的網(wǎng)站,迫使數據庫執行不良SQL代碼,獲取用戶(hù)數據信息。針對這種攻擊。應定期使用安全掃描工具對服務(wù)器的Web應用進(jìn)行滲透掃描,這樣可以提前發(fā)現服務(wù)器上的SQL注入漏洞,并進(jìn)行加固處理;另外,針對數據庫SQL注入攻擊,應盡量避免使用單引號標識,同時(shí)限制那些執行Web應用程序代碼的賬戶(hù)權限,減少或消除調試信息。
3.6 跨站腳本攻擊
跨站腳本攻擊指攻擊者利用網(wǎng)站漏洞惡意盜取用戶(hù)信息。用戶(hù)在瀏覽網(wǎng)站內容時(shí),一般會(huì )點(diǎn)擊網(wǎng)站中的鏈接,攻擊者在鏈接中植入惡意代碼,用戶(hù)點(diǎn)擊該鏈接就會(huì )執行
該惡意代碼,將用戶(hù)重定向到一個(gè)攻擊者定制好的頁(yè)面中,并盜取用戶(hù)cookie等敏感數據。跨站點(diǎn)腳本攻擊可以提供緩沖溢出、DoS攻擊和惡意軟件植入Web瀏覽器等方式來(lái)盜取用戶(hù)信息。對付此類(lèi)攻擊,最主要的應對策略是編寫(xiě)安全的代碼,避免惡意數據被瀏覽器解析;另外,可以在客戶(hù)端進(jìn)行防御,如把安全級別設高,只允許信任的站點(diǎn)運行腳本、Java、flash等小程序。
跨站腳本攻擊示意如圖2所示。
圖2 跨站腳本攻擊示意
4.云計算的安全問(wèn)題
根據調查統計,云計算主要面臨以下7種安全問(wèn)題,下面逐一進(jìn)行探討分析。
4.1 XML簽名包裝
XML簽名包裝是常見(jiàn)的Web服務(wù)攻擊漏洞,XML簽名元素包裝原本是用于防止組件名、屬性和值的非法訪(fǎng)問(wèn),但它無(wú)法隱蔽自己在公文中的位置。攻擊者通過(guò)SOAP(simple obiect access protocol,簡(jiǎn)單對象訪(fǎng)問(wèn)協(xié)議)消息攜帶內容攻擊組件。對付此類(lèi)攻擊的策略是使用類(lèi)似證書(shū)頒發(fā)機構這樣的第三方授權的數字證書(shū)(如X.509)和WS。SecurITy的XML簽名組件。具備組件列表的XML就可以拒絕有惡意文件的消息以及客戶(hù)端的非法消息。
4.2 瀏覽器安全性
當用戶(hù)通過(guò)Web瀏覽器向服務(wù)器發(fā)送請求時(shí)。瀏覽器必須使用SSL來(lái)加密授權以認證用戶(hù),SSL支持點(diǎn)對點(diǎn)通信,這就意味著(zhù)如果有第三方,中介主機就可以對數據解密。如果黑客在中介主機上安裝窺探包,就可能獲取用戶(hù)的認證信息并且使用這些認證信息在云系統中成為一個(gè)合法的用戶(hù)。應對這類(lèi)攻擊的策略是賣(mài)方在Web瀏覽器上使用WS-securITy策略。因為WS-securITy工作在消息層,可使用XML的加密策略對SOAP消息進(jìn)行連續加密,而且并不需要在中間傳遞的主機上進(jìn)行解密。
4.3 云惡意軟件注入攻擊
云惡意軟件注入攻擊試圖破壞一個(gè)惡意的服務(wù)、應用程序或虛擬機。闖入者惡意地強行生成個(gè)人對應用程序、服務(wù)或虛擬機的請求,并把它放到云架構中。一旦這樣的惡意軟件進(jìn)入了云架構里,攻擊者對這些惡意軟件的關(guān)注就成為合法的需求。如果用戶(hù)成功地向惡意服務(wù)發(fā)出申請,那么惡意軟件就可以執行。攻擊者向云架構上傳病毒程序,一旦云架構將這些程序視為合法的服務(wù)。病毒就得以執行,進(jìn)而破壞云架構安全。在這種情況下,硬件的破壞和攻擊的主要目標是用戶(hù)。一旦用戶(hù)對惡意程序發(fā)送請求,云平臺將通過(guò)互聯(lián)網(wǎng)向客戶(hù)傳送病毒。客戶(hù)端的機器將會(huì )感染病毒。攻擊者一般使用散列函數存儲請求文件的原始圖像。并將其與所有即將到來(lái)的服務(wù)請求進(jìn)行散列值比較。以此來(lái)建立一個(gè)合法的散列值與云平臺進(jìn)行對話(huà)或進(jìn)入云平臺。因此對付這種攻擊的主要策略是檢查收到消息的真實(shí)有效性。
