Web的攻击技术

互联网上的攻击，大都将web站点作为目标。下面本文讲解一下具体有哪些攻击手段。

一、HTTP的劣势

HTTP不具备必要的安全功能。就只是一个通用的单纯协议机制，有较多优势，但安全性方面呈劣势。

比如SSH协议的远程登录，SSH有协议级别的认证及会话管理等功能。HTTP则没有。

web应用中，浏览器接收到的HTTP请求的全部内容，都可以在客户端自由变更，篡改。所以web应用可能会受到与预期数据不符的内容。

在HTTP请求报文内添加攻击代码，就能发起对web应用的攻击。

 

二、针对web的攻击模式：

1.主动攻击

以服务器为目标的主动攻击：

主动攻击：攻击者通过直接访问web应用，把攻击代码传入的攻击模式。

如SQL注入，OS命令注入。

 

2.被动攻击

以服务器为目的的被动攻击：

被动攻击主要指利用圈套策略执行攻击代码的攻击模式，攻击者不直接对目标web应用访问发起攻击。

被动攻击的攻击模式：

• 1.攻击者诱使用户触发已经设置好的陷阱，而陷阱会启动发送已经嵌入攻击代码的HTTP请求。
• 2.当用户不知不觉中招后，用户的浏览器或邮件客户端会触发这个陷阱。
• 3.中招后用户浏览器会把含有攻击代码的HTTP请求发送给作为攻击目标的web应用，运行攻击代码。
• 4.执行完攻击代码，存在安全漏洞的web应用会成为攻击者的跳板，可能导致用户所持的cookie等个人信息被窃取。登录状态中的用户权限遭受到恶意滥用等后果。