3.2 中間人攻擊
中間人攻擊是另一種網(wǎng)絡(luò)攻擊手段。攻擊者通過攔截正常的網(wǎng)絡(luò)通信數(shù)據(jù)。并進(jìn)行數(shù)據(jù)篡改和嗅探,而通信的雙方卻毫不知情。在網(wǎng)絡(luò)通信中,如果安全套接字層(SSL)沒有正確配置,那么這個風(fēng)險問題就有可能發(fā)生。例如,如果通信雙方正在進(jìn)行信息交互,而SSL沒有正確地安裝,那么所有雙方之間的數(shù)據(jù)通信,都有可能被黑客侵入獲取。針對這種攻擊手段,可以采用的應(yīng)對措施是正確地安裝配置SSL。而且使用通信前應(yīng)由第三方權(quán)威機(jī)構(gòu)對SSL的安裝配置進(jìn)行檢查確認(rèn)。
3.3 網(wǎng)絡(luò)嗅探
網(wǎng)絡(luò)嗅探原先是網(wǎng)絡(luò)管理員用來查找網(wǎng)絡(luò)漏洞和檢測網(wǎng)絡(luò)性能的一種工具,但是到了黑客手中,它變成了一種網(wǎng)絡(luò)攻擊手段,造成了一個更為嚴(yán)峻的網(wǎng)絡(luò)安全問題。例如,在通信過程中,由于數(shù)據(jù)密碼設(shè)置過于簡單或未設(shè)置,導(dǎo)致被黑客破解,那么未加密的數(shù)據(jù)便被黑客通過網(wǎng)絡(luò)攻擊獲取。如果通信雙方?jīng)]有使用加密技術(shù)來保護(hù)數(shù)據(jù)安全性。那么攻擊者作為第三方便可以在通信雙方的數(shù)據(jù)傳輸過程中竊取到數(shù)據(jù)信息。針對這種攻擊手段,可以采用的應(yīng)對策略是通信各方使用加密技術(shù)及方法,確保數(shù)據(jù)在傳輸過程中安全。
3.4 端口掃描
端口掃描也是一種常見的網(wǎng)絡(luò)攻擊方法,攻擊者通過向目標(biāo)服務(wù)器發(fā)送一組端口掃描消息。并從返回的消息結(jié)果中探尋攻擊的弱點。應(yīng)用服務(wù)器總是開放著各類端口應(yīng)
用,例如80端口(HTTP)是為了給用戶提供Web應(yīng)用服務(wù),再如21端口(FTP)是為了給用戶提供n甲應(yīng)用服務(wù)的。這些端口總是一直處于打開狀態(tài),應(yīng)該在需要的時候打開。并且應(yīng)該對端口進(jìn)行加密。針對此類攻擊,可以啟用防火墻來保護(hù)數(shù)據(jù)信息免遭端口攻擊。
3.5 SQL注入攻擊
SQL注入是一種安全漏洞,利用這個安全漏洞,攻擊者可以向網(wǎng)絡(luò)表格輸入框中添加SQL代碼以獲得訪問權(quán)。在這種攻擊中。攻擊者可以操縱基于Web界面的網(wǎng)站,迫使數(shù)據(jù)庫執(zhí)行不良SQL代碼,獲取用戶數(shù)據(jù)信息。針對這種攻擊。應(yīng)定期使用安全掃描工具對服務(wù)器的Web應(yīng)用進(jìn)行滲透掃描,這樣可以提前發(fā)現(xiàn)服務(wù)器上的SQL注入漏洞,并進(jìn)行加固處理;另外,針對數(shù)據(jù)庫SQL注入攻擊,應(yīng)盡量避免使用單引號標(biāo)識,同時限制那些執(zhí)行Web應(yīng)用程序代碼的賬戶權(quán)限,減少或消除調(diào)試信息。
3.6 跨站腳本攻擊
跨站腳本攻擊指攻擊者利用網(wǎng)站漏洞惡意盜取用戶信息。用戶在瀏覽網(wǎng)站內(nèi)容時,一般會點擊網(wǎng)站中的鏈接,攻擊者在鏈接中植入惡意代碼,用戶點擊該鏈接就會執(zhí)行
該惡意代碼,將用戶重定向到一個攻擊者定制好的頁面中,并盜取用戶cookie等敏感數(shù)據(jù)?缯军c腳本攻擊可以提供緩沖溢出、DoS攻擊和惡意軟件植入Web瀏覽器等方式來盜取用戶信息。對付此類攻擊,最主要的應(yīng)對策略是編寫安全的代碼,避免惡意數(shù)據(jù)被瀏覽器解析;另外,可以在客戶端進(jìn)行防御,如把安全級別設(shè)高,只允許信任的站點運行腳本、Java、flash等小程序。
跨站腳本攻擊示意如圖2所示。
圖2 跨站腳本攻擊示意
4.云計算的安全問題
根據(jù)調(diào)查統(tǒng)計,云計算主要面臨以下7種安全問題,下面逐一進(jìn)行探討分析。
4.1 XML簽名包裝
XML簽名包裝是常見的Web服務(wù)攻擊漏洞,XML簽名元素包裝原本是用于防止組件名、屬性和值的非法訪問,但它無法隱蔽自己在公文中的位置。攻擊者通過SOAP(simple obiect access protocol,簡單對象訪問協(xié)議)消息攜帶內(nèi)容攻擊組件。對付此類攻擊的策略是使用類似證書頒發(fā)機(jī)構(gòu)這樣的第三方授權(quán)的數(shù)字證書(如X.509)和WS。SecurITy的XML簽名組件。具備組件列表的XML就可以拒絕有惡意文件的消息以及客戶端的非法消息。
4.2 瀏覽器安全性
當(dāng)用戶通過Web瀏覽器向服務(wù)器發(fā)送請求時。瀏覽器必須使用SSL來加密授權(quán)以認(rèn)證用戶,SSL支持點對點通信,這就意味著如果有第三方,中介主機(jī)就可以對數(shù)據(jù)解密。如果黑客在中介主機(jī)上安裝窺探包,就可能獲取用戶的認(rèn)證信息并且使用這些認(rèn)證信息在云系統(tǒng)中成為一個合法的用戶。應(yīng)對這類攻擊的策略是賣方在Web瀏覽器上使用WS-securITy策略。因為WS-securITy工作在消息層,可使用XML的加密策略對SOAP消息進(jìn)行連續(xù)加密,而且并不需要在中間傳遞的主機(jī)上進(jìn)行解密。
4.3 云惡意軟件注入攻擊
云惡意軟件注入攻擊試圖破壞一個惡意的服務(wù)、應(yīng)用程序或虛擬機(jī)。闖入者惡意地強(qiáng)行生成個人對應(yīng)用程序、服務(wù)或虛擬機(jī)的請求,并把它放到云架構(gòu)中。一旦這樣的惡意軟件進(jìn)入了云架構(gòu)里,攻擊者對這些惡意軟件的關(guān)注就成為合法的需求。如果用戶成功地向惡意服務(wù)發(fā)出申請,那么惡意軟件就可以執(zhí)行。攻擊者向云架構(gòu)上傳病毒程序,一旦云架構(gòu)將這些程序視為合法的服務(wù)。病毒就得以執(zhí)行,進(jìn)而破壞云架構(gòu)安全。在這種情況下,硬件的破壞和攻擊的主要目標(biāo)是用戶。一旦用戶對惡意程序發(fā)送請求,云平臺將通過互聯(lián)網(wǎng)向客戶傳送病毒。客戶端的機(jī)器將會感染病毒。攻擊者一般使用散列函數(shù)存儲請求文件的原始圖像。并將其與所有即將到來的服務(wù)請求進(jìn)行散列值比較。以此來建立一個合法的散列值與云平臺進(jìn)行對話或進(jìn)入云平臺。因此對付這種攻擊的主要策略是檢查收到消息的真實有效性。