从攻击者角度来阐述如何防御黑客攻击

　　一般来说。真正的黑客不会去攻击没有价值的目标，往往是存在商业价值或者私人恩怨以后，“黑客”会确定目标进行跟踪式攻击，当然也不排除有无聊的非真正黑客进行无聊的攻击活动，当然这也从另一方面反映出我国的网络安全的薄弱现象。稍微懂一点计算机的“黑客”使用一些黑客工具就可以轻易的篡改一些网站。

　　那么下面我就针对网络黑客如何进行攻击与一些常用的攻击手法进行介绍，只有知道了如何攻击才能有效的进行防御。

　　2007年根据新近公布的一份现实威胁分析报告表明，Web 应用正成为最大的网络安全盲点。而企业必须认识到自己的各种应用的风险，并采取必要的手段来避免危险的安全攻击。有许多调查研究论及了病毒、网络攻击、公共缺陷公布、垃圾邮件和网络钓鱼企图，但很少关注位于防火墙和传统网络安全范畴之外的基于 Web 的应用。

　　简单来说，目前黑客攻击所用到的技术都是已知技术的更高级应用，大概分为以下的几种方法：

　　接下来，我将简单介绍这几类攻击手法的技术原理。 以及该如何防范这些攻击。

　　注：以下例子都为真实的案例，为保护这些网站，网址经过处理。

　　一、SQL注入攻击

　　什么是 SQL注入呢?

　　简单的说也就是攻击者通过黑盒测试的方法查询到目标网站脚本存在过滤不严，那么攻击者就可以利用某些特殊构造的SQL语句插入SQL的特殊字符和指令，提交一段数据库查询代码，通过在IE浏览器访问直接查询管理员的用户口令等等。或者利用数据库的一些特性进行权限提升等等，这就是我们常说的sql injection也就是SQL注入。我们来看一下的代码：

　　如果程序员在网站的某一程序，比如vite.asp里有如上语句。那么我们可以清楚的看到ID没有经过任何过滤便放入到SQL查询语句当中，注入漏洞产生。那么我们可以构造地址为http://127.0.0.1/vite.asp?id=1 的地址来进行SQL注射攻击。SQL注射为目前WEB应用的最重要的威胁。据了解，90%的企业网站被攻险都是因为SQL注入引起的。那么下面我们就来看真实的案例。