3.2 中間人攻擊

　　中間人攻擊是另一種網(wǎng)絡(luò)攻擊手段。攻擊者通過攔截正常的網(wǎng)絡(luò)通信數(shù)據(jù)。并進(jìn)行數(shù)據(jù)篡改和嗅探，而通信的雙方卻毫不知情。在網(wǎng)絡(luò)通信中，如果安全套接字層（SSL）沒有正確配置，那么這個風(fēng)險問題就有可能發(fā)生。例如，如果通信雙方正在進(jìn)行信息交互，而SSL沒有正確地安裝，那么所有雙方之間的數(shù)據(jù)通信，都有可能被黑客侵入獲取。針對這種攻擊手段，可以采用的應(yīng)對措施是正確地安裝配置SSL。而且使用通信前應(yīng)由第三方權(quán)威機(jī)構(gòu)對SSL的安裝配置進(jìn)行檢查確認(rèn)。

　　3.3 網(wǎng)絡(luò)嗅探

　　網(wǎng)絡(luò)嗅探原先是網(wǎng)絡(luò)管理員用來查找網(wǎng)絡(luò)漏洞和檢測網(wǎng)絡(luò)性能的一種工具，但是到了黑客手中，它變成了一種網(wǎng)絡(luò)攻擊手段，造成了一個更為嚴(yán)峻的網(wǎng)絡(luò)安全問題。例如，在通信過程中，由于數(shù)據(jù)密碼設(shè)置過于簡單或未設(shè)置，導(dǎo)致被黑客破解，那么未加密的數(shù)據(jù)便被黑客通過網(wǎng)絡(luò)攻擊獲取。如果通信雙方?jīng)]有使用加密技術(shù)來保護(hù)數(shù)據(jù)安全性。那么攻擊者作為第三方便可以在通信雙方的數(shù)據(jù)傳輸過程中竊取到數(shù)據(jù)信息。針對這種攻擊手段，可以采用的應(yīng)對策略是通信各方使用加密技術(shù)及方法，確保數(shù)據(jù)在傳輸過程中安全。

　　3.4 端口掃描

　　端口掃描也是一種常見的網(wǎng)絡(luò)攻擊方法，攻擊者通過向目標(biāo)服務(wù)器發(fā)送一組端口掃描消息。并從返回的消息結(jié)果中探尋攻擊的弱點。應(yīng)用服務(wù)器總是開放著各類端口應(yīng)

　　用，例如80端口（HTTP）是為了給用戶提供Web應(yīng)用服務(wù)，再如21端口（FTP）是為了給用戶提供n甲應(yīng)用服務(wù)的。這些端口總是一直處于打開狀態(tài)，應(yīng)該在需要的時候打開。并且應(yīng)該對端口進(jìn)行加密。針對此類攻擊，可以啟用防火墻來保護(hù)數(shù)據(jù)信息免遭端口攻擊。

　　3.5 SQL注入攻擊

　　SQL注入是一種安全漏洞，利用這個安全漏洞，攻擊者可以向網(wǎng)絡(luò)表格輸入框中添加SQL代碼以獲得訪問權(quán)。在這種攻擊中。攻擊者可以操縱基于Web界面的網(wǎng)站，迫使數(shù)據(jù)庫執(zhí)行不良SQL代碼，獲取用戶數(shù)據(jù)信息。針對這種攻擊。應(yīng)定期使用安全掃描工具對服務(wù)器的Web應(yīng)用進(jìn)行滲透掃描，這樣可以提前發(fā)現(xiàn)服務(wù)器上的SQL注入漏洞，并進(jìn)行加固處理；另外，針對數(shù)據(jù)庫SQL注入攻擊，應(yīng)盡量避免使用單引號標(biāo)識，同時限制那些執(zhí)行Web應(yīng)用程序代碼的賬戶權(quán)限，減少或消除調(diào)試信息。

　　3.6 跨站腳本攻擊

　　跨站腳本攻擊指攻擊者利用網(wǎng)站漏洞惡意盜取用戶信息。用戶在瀏覽網(wǎng)站內(nèi)容時，一般會點擊網(wǎng)站中的鏈接，攻擊者在鏈接中植入惡意代碼，用戶點擊該鏈接就會執(zhí)行

　　該惡意代碼，將用戶重定向到一個攻擊者定制好的頁面中，并盜取用戶cookie等敏感數(shù)據(jù)�？缯军c腳本攻擊可以提供緩沖溢出、DoS攻擊和惡意軟件植入Web瀏覽器等方式來盜取用戶信息。對付此類攻擊，最主要的應(yīng)對策略是編寫安全的代碼，避免惡意數(shù)據(jù)被瀏覽器解析；另外，可以在客戶端進(jìn)行防御，如把安全級別設(shè)高，只允許信任的站點運行腳本、Java、flash等小程序。

　　跨站腳本攻擊示意如圖2所示。

　　圖2 跨站腳本攻擊示意

　　4.云計算的安全問題

　　根據(jù)調(diào)查統(tǒng)計，云計算主要面臨以下7種安全問題，下面逐一進(jìn)行探討分析。

　　4.1 XML簽名包裝

　　XML簽名包裝是常見的Web服務(wù)攻擊漏洞，XML簽名元素包裝原本是用于防止組件名、屬性和值的非法訪問，但它無法隱蔽自己在公文中的位置。攻擊者通過SOAP（simple obiect access protocol，簡單對象訪問協(xié)議）消息攜帶內(nèi)容攻擊組件。對付此類攻擊的策略是使用類似證書頒發(fā)機(jī)構(gòu)這樣的第三方授權(quán)的數(shù)字證書（如X.509）和WS。SecurITy的XML簽名組件。具備組件列表的XML就可以拒絕有惡意文件的消息以及客戶端的非法消息。

　　4.2 瀏覽器安全性

　　當(dāng)用戶通過Web瀏覽器向服務(wù)器發(fā)送請求時。瀏覽器必須使用SSL來加密授權(quán)以認(rèn)證用戶，SSL支持點對點通信，這就意味著如果有第三方，中介主機(jī)就可以對數(shù)據(jù)解密。如果黑客在中介主機(jī)上安裝窺探包，就可能獲取用戶的認(rèn)證信息并且使用這些認(rèn)證信息在云系統(tǒng)中成為一個合法的用戶。應(yīng)對這類攻擊的策略是賣方在Web瀏覽器上使用WS-securITy策略。因為WS-securITy工作在消息層，可使用XML的加密策略對SOAP消息進(jìn)行連續(xù)加密，而且并不需要在中間傳遞的主機(jī)上進(jìn)行解密。

　　4.3 云惡意軟件注入攻擊

　　云惡意軟件注入攻擊試圖破壞一個惡意的服務(wù)、應(yīng)用程序或虛擬機(jī)。闖入者惡意地強(qiáng)行生成個人對應(yīng)用程序、服務(wù)或虛擬機(jī)的請求，并把它放到云架構(gòu)中。一旦這樣的惡意軟件進(jìn)入了云架構(gòu)里，攻擊者對這些惡意軟件的關(guān)注就成為合法的需求。如果用戶成功地向惡意服務(wù)發(fā)出申請，那么惡意軟件就可以執(zhí)行。攻擊者向云架構(gòu)上傳病毒程序，一旦云架構(gòu)將這些程序視為合法的服務(wù)。病毒就得以執(zhí)行，進(jìn)而破壞云架構(gòu)安全。在這種情況下，硬件的破壞和攻擊的主要目標(biāo)是用戶。一旦用戶對惡意程序發(fā)送請求，云平臺將通過互聯(lián)網(wǎng)向客戶傳送病毒。客戶端的機(jī)器將會感染病毒。攻擊者一般使用散列函數(shù)存儲請求文件的原始圖像。并將其與所有即將到來的服務(wù)請求進(jìn)行散列值比較。以此來建立一個合法的散列值與云平臺進(jìn)行對話或進(jìn)入云平臺。因此對付這種攻擊的主要策略是檢查收到消息的真實有效性。