web安全
几种攻击方式
■拒绝服务(DOS):通过请求,对服务器进行轰击使服务器不可用。
■社会工程:欺骗用户,使其自愿对网站的安全性做出让步(如:钓鱼)。
■权限升级:使代码在“特权”环境下运行(如:“root”)
■信息泄露:允许攻击者查看其不应该看到的数据、文件等。
■中间人:在网络中放置恶意机器并使用它来拦截流量。
■会话劫持:窃取另一个用户的会话cookie并伪装成那个用户。
■跨站点脚本( XSS )或HTML注入:将恶意HTML或
JavaScript内容插入到网页中。
■SQL 注入:插入恶意SQL查询代码以显示或修改敏感数据。
(一)信息泄露
➢当攻击者不被允许查看数据、文件等时,他/她却可以看到。
➢Web服务器上不应该存在的文件
➢或者过于慷慨的权限( 读/写给所有人)
➢列出其内容的目录(索引)
➢可以在Web服务 器上禁用
➢猜测文件、目录、资源的名称
➢看到loginfail.php,尝试loginsuccess.php
➢看到user.php?id=123, 尝试user .php?id=456
➢看到/data/public,尝试/data/private
(二)中间人攻击
■是一种“间接”入侵攻击,这种攻击模式是通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间,这台计算机就称为“中间人”。
1.信息篡改
➢当主机A和主机C通信时, 都由主机B来为其“转发”&