《图解HTTP》学习笔记(二)

于 2019-04-02 19:25:30 发布
阅读量308 收藏
点赞数 2
分类专栏: 图解系列 文章标签: 图解HTTP 学习笔记 小白

Web 的攻击技术

针对 Web 的攻击技术

1.HTTP 不具备必要的安全功能
2.在客户端即可篡改请求
3.对Web应用的攻击模式

  1. 主动攻击
  2. 被动攻击

  1. 以服务器为目标的主动攻击
    主动攻击(active attack)是指攻击者通过直接访问 Web 应用,把攻击代码传入的攻击模式。由于该模式是直接针对服务器上的资源进行攻击,因此攻击者需要能够访问到那些资源。(SQL注入攻击和OS命令注入攻击)

  2. 以服务器为目标的被动攻击
    被动攻击(passive attack)是指利用圈套策略执行攻击代码的攻击模式。在被动攻击过程中,攻击者不直接对目标 Web 应用访问发起攻击。

因输出值转义不完全引发的安全漏洞

1.跨站脚本攻击
跨站脚本攻击(Cross-Site Scripting,XSS)是指通过存在安全漏洞的Web 网站注册用户的浏览器内运行非法的 HTML标签或 JavaScript 进行的一种攻击。动态创建的 HTML部分有可能隐藏着安全漏洞。就这样,攻击者编写脚本设下陷阱,用户在自己的浏览器上运行时,一不小心就会受到被动攻击
2.SQL 注入攻击
SQL注入(SQLInjection)是指针对 Web 应用使用的数据库,通过运行非法的 SQL而产生的攻击。该安全隐患有可能引发极大的威胁,有时会直接导致个人信息及机密信息的泄露。
3.OS 命令注入
OS 命令注入攻击(OS Command Injection)是指通过 Web 应用,执行非法的操作系统命令达到攻击的目的。只要在能调用 Shell 函数的地方就有存在被攻击的风险。
4.HTTP 首部注入攻击
HTTP 首部注入攻击(HTTP Header Injection)是指攻击者通过在响应首部字段内插入换行,添加任意响应首部或主体的一种攻击。属于被动攻击模式。
5.邮件首部注入攻击
邮件首部注入(Mail Header Injection)是指 Web 应用中的邮件发送功能,攻击者通过邮件首部 To 或 Subject 内任意添加非法内容发起的攻击。利用存在安全漏洞的 Web 网站,可对任意邮件地址发送广告邮件或病毒邮件。
6.目录遍历攻击
目录遍历(Directory Traversal)攻击是指对本无意公开的文件目录,通过非法截断其目录路径后,达成访问目的的一种攻击。这种攻击有时也称为路径遍历(Path Traversal)攻击。
7.远程文件包含漏洞
远程文件包含漏洞(Remote File Inclusion)是指当部分脚本内容需要从其他文件读入时,攻击者利用指定外部服务器的 URL充当依赖文件,让脚本读取之后,就可运行任意脚本的一种攻击。

因设置或设计上的缺陷引发的安全漏洞

1.强制浏览
强制浏览(Forced Browsing)安全漏洞是指,从安置在 Web 服务器的公开目录下的文件中,浏览那些原本非自愿公开的文件。
2.不正确的错误消息处理
不正确的错误消息处理(Error Handling Vulnerability)的安全漏洞是指,Web 应用的错误信息内包含对攻击者有用的信息。与 Web 应用有关的主要错误信息如下所示。
3.开放重定向
开放重定向(Open Redirect)是一种对指定的任意 URL作重定向跳转的功能。而于此功能相关联的安全漏洞是指,假如指定的重定向 URL到某个具有恶意的 Web 网站,那么用户就会被诱导至那个 Web 网站。

因会话管理疏忽引发的安全漏洞

1.会话劫持
会话劫持(Session Hijack)是指攻击者通过某种手段拿到了用户的会话 ID,并非法使用此会话 ID 伪装成用户,达到攻击的目的。

2.会话固定攻击
对以窃取目标会话 ID 为主动攻击手段的会话劫持而言,会话固定攻击(Session Fixation)攻击会强制用户使用攻击者指定的会话 ID,属于被动攻击。
3.跨站点请求伪造
跨站点请求伪造(Cross-Site Request Forgeries,CSRF)攻击是指攻击者通过设置好的陷阱,强制对已完成认证的用户进行非预期的个人信息或设定信息等某些状态更新,属于被动攻击。

其他安全漏洞

1.密码破解
密码破解攻击(Password Cracking)即算出密码,突破认证。攻击不仅限于 Web 应用,还包括其他的系统(如 FTP 或 SSH 等),本节将会讲解对具备认证功能的 Web 应用进行的密码破解。
2.点击劫持
点击劫持(Clickjacking)是指利用透明的按钮或链接做成陷阱,覆盖在 Web 页面之上。然后诱使用户在不知情的情况下,点击那个链接访问内容的一种攻击手段。这种行为又称为界面伪装(UIRedressing)。
3.DoS 攻击
DoS 攻击(Denial of Service attack)是一种让运行中的服务呈停止状态的攻击。有时也叫做服务停止攻击或拒绝服务攻击。DoS 攻击的对象不仅限于 Web 网站,还包括网络设备及服务器等。
4.后门程序
后门程序(Backdoor)是指开发设置的隐藏入口,可不按正常步骤使用受限功能。利用后门程序就能够使用原本受限制的功能。

转载:《图解HTTP》

点我回顶部

 
 
 
 
 
 
 
Fin.

小黑LLB
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
《算法图解学习笔记一:分查找
12-22
分查找,也称为折半查找,是一种在有序数据集合中高效寻找特定元素的搜索算法。这个算法基于分治策略,适用于线性有序列表,如排序后的数组或链表。在电话簿、字典和数据库查找等场景中,分查找能够显著提高查找...
读书笔记图解Http学习笔记.zip
07-25
读书笔记图解Http学习笔记
html笔记http协议图解
04-11
在“HTML笔记http协议图解”中,我们可以深入学习HTML的基础知识以及与网络传输相关的HTTP协议。以下是对这些主题的详细阐述: 1- 基础标签:HTML文档由一系列的标签构成,这些标签定义了网页的结构和内容。例如`...
minishell脚本
08-09
代码
【创新发文无忧】Matlab实现星雀优化算法NOA-DELM的故障诊断算法研究.rar
08-09
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领域的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
ssm_068_mysql_学生智能选课系统_.zip
08-09
目前大数据、信息化、网络科技等技术发展迅猛,各行各业都在利用最新的技术应用替换原来的陈旧应用,这样既提升了办公效率,同时也加快了各行业的发展进程。在众多行业中,教育行业又显得颇为重要,因为教育关系到孩子的未来成长,直接影响到未来科技人才的培养。 在教育领域中,除了必修的专业课程之外,还有选修课程。如何让学生更好的更精准的去选到自己想要的课程,就显得尤为重要了。ssm基于Java学生智能选课系统解决了以上问题,它可以让学生轻松选到自己喜欢的课程,整个系统的智能化设计理念更让老师、同学及课程之间的信息交互实现了无缝链接。 在未来教育的发展当中,会有越来越多的院校使用本系统,原因包括以下几点,首先就是它的大方直观页面展示带来的美好视觉效果,其次是操作简便并准确快速找到自己的喜欢课程、教师及上课的时间段,再有就是随时随地的在任意网络上均可登录本系统进行选课,时间上非常的灵活。
财务对账系统表(发票管理).xls
08-09
工资表,财务报表,对账表,付款申请,财务报告,费用支出表 适用人群:学习不同技术领域的小白或进阶学习者;可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。
PPAP Submission Cover Page - Master Blank.doc
08-09
PPAP Submission Cover Page - Master Blank
ssm_111_mysql_编程类在线答题系统_.zip
08-09
摘 要 伴随着人才教学的关注度越来越高,对于人才的培养也是当今社会发展的最为重要的问题之一。为了进一步的进行人才的培养关工作,许多的学校或者是教育的机构逐步的开展了网络信息化的教学和和管理工作,通过信息化的手段和技术实现网络信息化的教育及管理模式,通过网络信息化的手段实现在线答题在线考试和学生信息在线的管理等操作。这样更加的快捷解决了人才培养之中的问题,也在进一步的促进了网络信息化教学方式的快速的发展工作。相较于之前的人才教育和培养工作之中,存在这许多的问题和局限性。在学生信息管理方面通过线下管理的形式进行学生信息的管理工作,在此过程之中存在着一定的局限性和低效性,往往一些突发的问题导致其中工作出现错误。导致相关的教育工作受到了一定的阻碍。在学生信息和学生成绩的管理方面,往常的教育模式之下都是采用的是人工线下的进行管理和整理工作,在这一过程之中存在这一定的不安全和低效性,面对与学生基数的越来越大,学生的信息管理也在面领着巨大的挑战,管理人员面领着巨大的学生信息的信息量,运用之前的信息管理方式往往会在统计和登记上出现错误的情况的产生,为后续的管理工作造成了一定的困难。然而通过信息化的管理方式进行对学生信息的管理不仅可以避免这些错误情况的产生还可以进一步的简化学生信息管理工作的流程,节约了大量的人力和物力的之处。在线答题系统的实现不仅给学生的信息管理工作和在线考试带来了方便也进一步的促进了教育事业信息化的发展,从而实现高效化的教学工作。
关于字节的那些事技术分享,ppt样式
08-09
关于字节的那些事技术分享,ppt样式
ssm_144_mysql_在线投票系统_.zip
08-09
ava语言,ssm框架,mysql数据库 前台+后台 前台界面 WU 后台界面:CQA+CQB 内容页 P2 前台 投票须知(固定IP不可重复投票) 用户注册 用户可以发起投票(包括题目,选项,单选/多选等都可以自定义) 投票主题查看,可以收藏 在线投票(按照主题投票)登录后可以操作,支持单选及多选,投票结果查看,统计(图表形式) 查看投票结果,登录后可以操作 在线留言(包括留言和管理员回复) 后台 管理员 管理员管理 注册用户审核 投票须知管理 投票主题管理 投票内容管理(选项的删除和添加) 系统管理(可以实现项目的删除和编辑以及系统配置的更新) 注册用户 个人资料修改 我的收藏主题
ssm_062_mysql_陆丰市医院分诊管理系统.zip
08-09
医院分诊管理系统是适应时代发展的需要,提高管理的效率而开发设计的,有效的减少了患者排队取号的时间,增加了医生的工作效率。通过对信息的收集、存储、传递、统计、分析、综合查询、报表输出和信息共享,及时为医院领导及各部门管理人员提供全面、准确的各种数据。实现了医院管理的简单化和规划化,提高了医院的工作效率,从而使医院能够以少的投入获得更好的社会效益与经济效益。 作为计算机应用的一部分,使用计算机对客户信息进行管理,具有着手工管理所无法比拟的优点.例如:检索迅速、查找方便、可靠性高、存储量大、保密性好、寿命长、成本低等。这些优点能够极大地提高门诊收费的效率,也是一个医院的科学化、正规化管理,与世界接轨的重要条件。 医院分诊管理管理系统是典型的信息管理系统,其主要包括后台数据库的建立和维护以及前端应用程序的开发两个方面。对于前者要求建立起一致性、完整性强和安全性好的数据库。而对于后者则要求应用程序具有功能完备,易使用等特点。 经过分析如此情况,决定使用Java语言进行开发,利用其提供的各种面向对象的开发工具,数据库方面使用当前比较流行的mysql
基于PLC的ST语言实现的气缸控制
08-09
基于PLC的ST语言实现的气缸控制
html+css+js网页设计 找法网2个页面(带js)ui还原度百分之90
08-09
预览地址:https://blog.csdn.net/qq_42431718/article/details/141064585 html+css+js网页设计 找法网2个页面(带js)ui还原度百分之90
阿齐archie.docx
08-09
阿齐archie “阿齐”可能是指“阿齐”游戏(Archeage),它是一款由韩国开发的 MMORPG(大型多人在线角色扮演游戏)。在这款游戏中,玩家可以探索广阔的世界、完成任务、打怪、制作物品、参与战争和贸易等。
【创新发文无忧】Matlab实现天鹰优化算法AO-DELM的故障诊断算法研究.rar
08-09
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领域的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
简历-求职简历-word-文件-简历模版免费分享-应届生-高颜值简历模版-个人简历模版-简约大气-大学生在校生-求职-实习
最新发布
08-09
简历-求职简历-word-文件-简历模版免费分享-应届生-高颜值简历模版-个人简历模版-简约大气-大学生在校生-求职-实习 简历是展示个人经历、技能和能力的重要文档,以下是一个常见的简历格式和内容模板,供您参考: 简历格式: 头部信息:包括姓名、联系方式(电话号码、电子邮件等)、地址等个人基本信息。 求职目标(可选):简短描述您的求职意向和目标。 教育背景:列出您的教育经历,包括学校名称、所学专业、就读时间等。 工作经验:按时间顺序列出您的工作经历,包括公司名称、职位、工作时间、工作职责和成就等。 技能和能力:列出您的专业技能、语言能力、计算机技能等与职位相关的能力。 实习经验/项目经验(可选):如果您有相关实习或项目经验,可以列出相关信息。 获奖和荣誉(可选):列出您在学术、工作或其他领域获得的奖项和荣誉。 自我评价(可选):简要描述您的个人特点、能力和职业目标。 兴趣爱好(可选):列出您的兴趣爱好,展示您的多样性和个人素质。 参考人(可选):如果您有可提供推荐的人员,可以在简历中提供其联系信息。 简历内容模板: 姓名: 联系方式: 地址: 求职目标: (简短描述您的求职意
程序开发编程重要培训资料分享15程序开发编程开发技术资料.zip
08-09
程序开发编程重要培训资料分享15程序开发编程开发技术资料.zip
apache-jmeter-5.4.1
08-09
apache-jmeter-5.4.1
图解人工智能第学习笔记
08-24
在人工智能研究中,状态空间法是一种基于解空间的问题表示和求解方法。该方法通过在可能的解空间内寻找一个解来求解问题。状态空间法以状态和算符为基础来表示和求解问题。在传统人工智能问题中,复杂的求解技术都离不开表示与搜索这两个方面的内容,其中状态空间表示是其中的一个重要概念。状态空间法采用试探搜索方法,在某个可能的解空间内寻找一个解来求解问题。图解人工智能第学习笔记中可能会涉及到状态空间法的概念和问题状态描述。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [人工智能及其应用——第学习笔记(上)](https://blog.csdn.net/JallinRicher/article/details/122752897)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* [《人工智能及其应用》课程笔记)第2章 知识表示方法](https://blog.csdn.net/qq_46485137/article/details/122101559)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值