互联网上的攻击,大都将web站点作为目标。下面本文讲解一下具体有哪些攻击手段。
一、HTTP的劣势
HTTP不具备必要的安全功能。就只是一个通用的单纯协议机制,有较多优势,但安全性方面呈劣势。
比如SSH协议的远程登录,SSH有协议级别的认证及会话管理等功能。HTTP则没有。
web应用中,浏览器接收到的HTTP请求的全部内容,都可以在客户端自由变更,篡改。所以web应用可能会受到与预期数据不符的内容。
在HTTP请求报文内添加攻击代码,就能发起对web应用的攻击。
二、针对web的攻击模式:
1.主动攻击
以服务器为目标的主动攻击:
主动攻击:攻击者通过直接访问web应用,把攻击代码传入的攻击模式。
如SQL注入,OS命令注入。
2.被动攻击
以服务器为目的的被动攻击:
被动攻击主要指利用圈套策略执行攻击代码的攻击模式,攻击者不直接对目标web应用访问发起攻击。
被动攻击的攻击模式:
- 1.攻击者诱使用户触发已经设置好的陷阱,而陷阱会启动发送已经嵌入攻击代码的HTTP请求。
- 2.当用户不知不觉中招后,用户的浏览器或邮件客户端会触发这个陷阱。
- 3.中招后用户浏览器会把含有攻击代码的HTTP请求发送给作为攻击目标的web应用,运行攻击代码。
- 4.执行完攻击代码,存在安全漏洞的web应用会成为攻击者的跳板,可能导致用户所持的cookie等个人信息被窃取。登录状态中的用户权限遭受到恶意滥用等后果。