攻击常见的特点:攻击一般都有一定的连续性,一般都会借助工具进行。攻击者可能会借助一定的跳板。
SSRF(Server-Side Request Forgery,服务器端请求伪造)是一种由攻击者构造形成由服务器发起请求的一个安全漏洞
CSRF(Cross-Site Request Forgery,跨站请求伪造攻击)漏洞 一种对网站的恶意利用 伪装成受信任用户请求受信任的网站
被CSRF攻击需同时满足两个条件:登录受信任网站A,并在本地生成Cookie。在不登陆A的情况下,访问危险网站B。
文件上传漏洞:用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。
webshell:以asp,php,jsp或者cgi等网页文件形式存在的一种命令执行环境
黑客入侵了一个网站之后,通常会将asp或者php后门文件与网站服务器WEB目录下正常的网页文件混在一起,然后可以使用浏览器来访问asp或者php后门,得到一个命令执行环境,以达到控制网站服务器的目的。
RCE漏洞
危害:1.窃取服务器的敏感数据,文件 2.对电脑的文件进行加密,实施勒索 3.运行恶意代码,如挖矿程序 4.拒绝服务 5.作为跳板机攻击其他人
发生前提:系统或软件代码中使用了执行命令的函数 2.执行的命令是可以通过参数控制的 3.有一个可以在外网可以访问的入口。
XXS漏洞(跨站脚本攻击)
攻击者利用Web服务器中的代码漏洞,在页面中嵌入客户端脚本,当信任此Web服务器的用户访问Web站点中含有恶意脚本代码的页面,用户浏览器会自动加载并执行该恶意代码,从而达到攻击的目的。
分为三类:1.反射性XXS:非持久性XXS,最常见的一种XXS。2.存储型XXS:持久性XXS,JS代码会存在后台。一般存储在留言框等,再次刷新会执行JS代码。 3.DOM型XXS:也是一种反射型,但是输入的语句不是JS的语句,是DOM语法。
3468
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
