hjr学习-网络安全:WEB常见攻击方式

原创 2017年01月23日 00:32:07

注入

就是让攻击对象执行自己代码,注入不同的代码可以实现不同的攻击,而根据注入的方式划分了攻击名字

tips:谷歌浏览器的F12中的network可以查看数据包

不同的代码
比如cookie劫持,就是这段代码可以获取对方的cookie,比如钓鱼,就是这段代码可以弹出个假的密码输入窗口。

注入的方式

SOP(同源策略):
不同域名的客户端脚本在未授权的情况下不能读写别的域名的资源,域名就是www.xxx.com
我们建一个网页a.com,里面嵌入一个iframeiframe里是b.com网站的登录界面,用户登录后,在a.com的代码里获取iframe里的b.com的cookie

因为a.com与b.com不同源根据SOP不能实现,所以必须想一个办法,在域名不变的同时注入JS。

不限制

  1. 同源策略不限制写,只限制读。
  2. 引用其他域名的js文件,样式文件,图片文件什么的不被同源策略限制,页面中的链接,重定向以及表单提交是不会受到同源策略限制的。

限制

同源策略主要限制的不同源之间js中的XMLHttpRequest等请求

  1. 不能通过ajax的方法或其他脚本中的请求去访问不同源中的文档。
  2. 浏览器中不同域的框架之间是不能进行js的交互操作的。

正规方式绕过

有时一些网站提供公共接口给别人用,比如查看天气,翻译之类的,所以同源策略有正规方式绕过

  1. 跨域资源共享(CORS)
    添加一个标明公共资源的头部。
  2. JSONP
    原理是客户端告诉服务一个回调函数的名称,服务在返回的scritp里面调用这个回调函数,同时传进客户端需要的数据。

违法方式绕过

1.CSRF(跨站请求伪造)
详情见下

浏览器安全

目的是让客户端执行自己的代码

XSS(跨站脚本攻击)

反射型:JS注入到客户端浏览器的URL中。
DOM型:JS注入到客户端html页面的DOM中。

诱使用户访问URL或点击执行JS

存储型:JS注入到服务器数据库中。
比如写到评论里,这样所有点击查看评论的用户都会执行该JS代码。

CSRF(跨站请求伪造)

诱使用户访问第三方网站,在那个网站里就会有一段可以在用户不知情时,执行用户已经登录过的网站的操作代码。
由于并不是用户自己的操作所以叫请求伪造。

区别:
XSS:是把JS代码注入到攻击站点(进行窃取Cookie,钓鱼之类的)
CSRF:是伪造对攻击站点的请求(进行利用用户身份做某事)
本质相同侧重不同。

点击劫持

这个不是攻击其他站点,而是攻击者在自己的正常网页上放置透明不可见的Iframe,用户的想要进行正常操作却点击到了透明的Iframe,因此在不知情的情况下执行了攻击者想要其执行的操作,图片覆盖和拖拽劫持同理。

服务器安全

SQL注入

用户输入的内容被当成SQL语句执行了

检测漏洞方法

  1. 盲注:先输入and 1=1,再输入and 1=2,如果一个返回正常一个返回错误,说明此处有SQL注入漏洞。
  2. 技巧注:根据响应时间长短,输入数据库特有的函数方法等

上传注入

  1. 用户上传的文件是对服务器操作的代码,上传后通过URL访问该文件执行Shell操作
  2. 用户上传的文件是钓鱼网页的代码,上传后把url发给别人,别人看到域名是正规网站,钓鱼更易成功。

DDOS

同时大量的访问使目标网站卡死

版权声明:本文为博主原创文章,未经博主允许不得转载。

相关文章推荐

关键字: oracle分页就用这一句

分页的宗旨是控制查询出来的数据个数,下面这条语句对于Oracle分页已经足够了。(注:该语句只能用于Oracle)SELECT * FROM (SELECT temp.*, ROWNUM RN FRO...

设计模式 ( 十八 ) 策略模式Strategy(对象行为型)

设计模式 ( 十八 ) 策略模式Strategy(对象行为型) 1.概述         在软件开发中也常常遇到类似的情况,实现某一个功能有多种算法或者策略,我们可以根据环境或者条件的不同选择不同的...
  • hguisu
  • hguisu
  • 2012年05月12日 15:50
  • 189730

hjr学习-网络安全:CMS注入

找到后台登录页面 下载个可以根据网址+字典测试联通的软件,如’御剑’。 谷歌搜索 site : www.xxx.com inurl : admin|manager|system|。 网站克隆 类似爬虫...
  • hjrcrj
  • hjrcrj
  • 2017年01月17日 17:46
  • 146

常见的网络攻击方式

  • 2013年03月15日 21:20
  • 180KB
  • 下载

常见的安全攻击方式及防御简介

跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插...

Web安全:浅谈CSRF攻击方式

一.CSRF是什么?   CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:...

WEB网站常见受攻击方式及解决办法

XSSCSRF网站攻击重定向攻击       一个网站建立以后,如果不注意安全方面的问题,很容易被人攻击,下面就讨论一下几种漏洞情况和防止攻击的办法. 一.跨站脚本攻击(XSS) ...

Web应用系统的小安全漏洞及相应的攻击方式

接口自动化测试的"开胃小菜" 1   写作目的 本文讲述一个简单的利用WebAPI来进行一次基本没有破坏力的“黑客”行为。 主要目的如下: 了解什么叫安全漏洞知道什么是api了解一些获...

常见web系统攻击方式归纳

常见web系统攻击方式归纳: sql注入:常见于分页功能或者查询功能,对于传入的参数未进行安全字符转义或者过滤。一些需要提交字符数据的位置也是攻击目标点。 跨站脚本攻击:此种攻击常见与使用了用户编辑富...

WEB网站常见受攻击方式及解决办法

一个网站建立以后,如果不注意安全方面的问题,很容易被人攻击,下面就讨论一下几种漏洞情况和防止攻击的办法. 一.跨站脚本攻击(XSS)     跨站脚本攻击(XSS,Cross-site s...
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:hjr学习-网络安全:WEB常见攻击方式
举报原因:
原因补充:

(最多只允许输入30个字)