Web的攻击技术

本文深入探讨了针对Web的攻击技术,包括HTTP的劣势、主动与被动攻击模式,如SQL注入、XSS、CSRF等。同时,还讨论了因输出值转移不全、设置或设计缺陷以及会话管理疏忽引发的安全漏洞。最后,提及其他安全漏洞,如密码破解、点击劫持和DoS攻击等。
摘要由CSDN通过智能技术生成

互联网上的攻击,大都将web站点作为目标。下面本文讲解一下具体有哪些攻击手段。

一、HTTP的劣势

HTTP不具备必要的安全功能。就只是一个通用的单纯协议机制,有较多优势,但安全性方面呈劣势。

比如SSH协议的远程登录,SSH有协议级别的认证及会话管理等功能。HTTP则没有。

web应用中,浏览器接收到的HTTP请求的全部内容,都可以在客户端自由变更,篡改。所以web应用可能会受到与预期数据不符的内容。

在HTTP请求报文内添加攻击代码,就能发起对web应用的攻击。

 

二、针对web的攻击模式:

1.主动攻击

以服务器为目标的主动攻击:

主动攻击:攻击者通过直接访问web应用,把攻击代码传入的攻击模式。

SQL注入OS命令注入

 

2.被动攻击

以服务器为目的的被动攻击:

被动攻击主要指利用圈套策略执行攻击代码的攻击模式,攻击者不直接对目标web应用访问发起攻击。

被动攻击的攻击模式:

  • 1.攻击者诱使用户触发已经设置好的陷阱,而陷阱会启动发送已经嵌入攻击代码的HTTP请求。
  • 2.当用户不知不觉中招后,用户的浏览器或邮件客户端会触发这个陷阱。
  • 3.中招后用户浏览器会把含有攻击代码的HTTP请求发送给作为攻击目标的web应用,运行攻击代码。
  • 4.执行完攻击代码,存在安全漏洞的web应用会成为攻击者的跳板,可能导致用户所持的cookie等个人信息被窃取。登录状态中的用户权限遭受到恶意滥用等后果。
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值