hjr学习-网络安全:WEB常见攻击方式

原创 2017年01月23日 00:32:07

注入

就是让攻击对象执行自己代码,注入不同的代码可以实现不同的攻击,而根据注入的方式划分了攻击名字

tips:谷歌浏览器的F12中的network可以查看数据包

不同的代码
比如cookie劫持,就是这段代码可以获取对方的cookie,比如钓鱼,就是这段代码可以弹出个假的密码输入窗口。

注入的方式

SOP(同源策略):
不同域名的客户端脚本在未授权的情况下不能读写别的域名的资源,域名就是www.xxx.com
我们建一个网页a.com,里面嵌入一个iframeiframe里是b.com网站的登录界面,用户登录后,在a.com的代码里获取iframe里的b.com的cookie

因为a.com与b.com不同源根据SOP不能实现,所以必须想一个办法,在域名不变的同时注入JS。

不限制

  1. 同源策略不限制写,只限制读。
  2. 引用其他域名的js文件,样式文件,图片文件什么的不被同源策略限制,页面中的链接,重定向以及表单提交是不会受到同源策略限制的。

限制

同源策略主要限制的不同源之间js中的XMLHttpRequest等请求

  1. 不能通过ajax的方法或其他脚本中的请求去访问不同源中的文档。
  2. 浏览器中不同域的框架之间是不能进行js的交互操作的。

正规方式绕过

有时一些网站提供公共接口给别人用,比如查看天气,翻译之类的,所以同源策略有正规方式绕过

  1. 跨域资源共享(CORS)
    添加一个标明公共资源的头部。
  2. JSONP
    原理是客户端告诉服务一个回调函数的名称,服务在返回的scritp里面调用这个回调函数,同时传进客户端需要的数据。

违法方式绕过

1.CSRF(跨站请求伪造)
详情见下

浏览器安全

目的是让客户端执行自己的代码

XSS(跨站脚本攻击)

反射型:JS注入到客户端浏览器的URL中。
DOM型:JS注入到客户端html页面的DOM中。

诱使用户访问URL或点击执行JS

存储型:JS注入到服务器数据库中。
比如写到评论里,这样所有点击查看评论的用户都会执行该JS代码。

CSRF(跨站请求伪造)

诱使用户访问第三方网站,在那个网站里就会有一段可以在用户不知情时,执行用户已经登录过的网站的操作代码。
由于并不是用户自己的操作所以叫请求伪造。

区别:
XSS:是把JS代码注入到攻击站点(进行窃取Cookie,钓鱼之类的)
CSRF:是伪造对攻击站点的请求(进行利用用户身份做某事)
本质相同侧重不同。

点击劫持

这个不是攻击其他站点,而是攻击者在自己的正常网页上放置透明不可见的Iframe,用户的想要进行正常操作却点击到了透明的Iframe,因此在不知情的情况下执行了攻击者想要其执行的操作,图片覆盖和拖拽劫持同理。

服务器安全

SQL注入

用户输入的内容被当成SQL语句执行了

检测漏洞方法

  1. 盲注:先输入and 1=1,再输入and 1=2,如果一个返回正常一个返回错误,说明此处有SQL注入漏洞。
  2. 技巧注:根据响应时间长短,输入数据库特有的函数方法等

上传注入

  1. 用户上传的文件是对服务器操作的代码,上传后通过URL访问该文件执行Shell操作
  2. 用户上传的文件是钓鱼网页的代码,上传后把url发给别人,别人看到域名是正规网站,钓鱼更易成功。

DDOS

同时大量的访问使目标网站卡死

版权声明:本文为博主原创文章,未经博主允许不得转载。

WEB网站常见的受攻击方式及预防手段

一.跨站脚本攻击(XSS)     跨站脚本攻击(XSS,Cross-site scripting)是最常见和基本的攻击WEB网站的方法。攻击者在网页上发布包含攻击性代码的数据。当浏览者看到此网...
  • minihoop
  • minihoop
  • 2016年04月18日 20:40
  • 1295

如何玩转网络安全下的深度学习?最全的学习资料清单看这里

近日,外媒 KDnuggets 刊登了一篇机器学习与网络安全相关的资料大汇总,文中列出了相关数据源的获取途径,优秀的论文和书籍,以及丰富的教程。大部分都是作者在日常工作和学习中亲自使用并认为值得安利的...
  • omnispace
  • omnispace
  • 2017年02月08日 04:39
  • 2271

网络安全工程师的学习路线

Web安全工程师 概念基础 一.了解黑客是如何工作的 1.在虚拟机配置Linux系统 2.漏洞测试工具 3.msf控制台 4.远程工具RATS 5.远程访问计算机 6.白帽 二.技术基础 漏斗扫描工具...
  • wfhjhffg
  • wfhjhffg
  • 2017年10月24日 17:15
  • 664

WEB网站常见受攻击方式及解决办法

一个网站建立以后,如果不注意安全方面的问题,很容易被人攻击,下面就讨论一下几种漏洞情况和防止攻击的办法. 一.跨站脚本攻击(XSS)     跨站脚本攻击(XSS,Cross-site scrip...
  • liuyang130347
  • liuyang130347
  • 2017年01月04日 19:45
  • 1161

网络上常见的攻击方式以及防御系统

病毒:注重攻击的破坏力,编程计算机中插入破坏计算机功能或数据的代码,能自我复制的一组计算机指令和代码。 木马:通过得听特定程序来控制另一台计算机,木马通常有两个执行程序:一个控制端,另一个被控制端;木...
  • baidu_27386223
  • baidu_27386223
  • 2015年08月02日 17:22
  • 1296

web常见攻击方式

1.SQL注入漏洞,通过每种数据库的SQL语法和特性,进行攻击,例如:’or 1=1–’。2.上传漏洞攻击,通常会与Web容器(IIS,Nginx,Apache,Tomcat)的解析漏洞配合在一起,例...
  • u011311291
  • u011311291
  • 2017年11月17日 17:05
  • 29

常见的Web攻击和防御总结

一个网站建立以后,如果不注意安全方面的问题,很容易被人攻击,下面就讨论一下几种漏洞情况和防止攻击的办法. 一.跨站脚本攻击(XSS)     跨站脚本攻击(XSS,Cross-site s...
  • qq_19776363
  • qq_19776363
  • 2015年10月14日 19:04
  • 746

hjr学习-网络安全:CMS注入

找到后台登录页面 下载个可以根据网址+字典测试联通的软件,如’御剑’。 谷歌搜索 site : www.xxx.com inurl : admin|manager|system|。 网站克隆 类似爬虫...
  • hjrcrj
  • hjrcrj
  • 2017年01月17日 17:46
  • 193

网络安全------网络攻击分类

1.读取攻击 读取攻击主要包含所有从受害者哪里获取信息的相关攻击。此类攻击会从获取组织结构的ip地址,在那些地址范围内进行端口扫描和漏洞弱点扫描,最后到入侵有弱点的主机获取信息。 1.侦察(reco...
  • u010670679
  • u010670679
  • 2014年09月30日 10:46
  • 9207

机器学习给打击网络攻击带来新希望

E安全8月19日文 过去几年,大量成功的数据泄露事件让人不安,很明显,组织机构被越来越多的威胁所困扰。 但是,新型安全解决方案如雨后春笋般涌现,将机器学习应用到企业安全。这些工具提供能力分析网络、了...
  • SAKAISON
  • SAKAISON
  • 2016年08月20日 09:58
  • 1279
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:hjr学习-网络安全:WEB常见攻击方式
举报原因:
原因补充:

(最多只允许输入30个字)