本文深入探讨了针对Web的攻击技术,包括HTTP的劣势、主动与被动攻击模式,如SQL注入、XSS、CSRF等。同时,还讨论了因输出值转移不全、设置或设计缺陷以及会话管理疏忽引发的安全漏洞。最后,提及其他安全漏洞,如密码破解、点击劫持和DoS攻击等。
互联网上的攻击,大都将web站点作为目标。下面本文讲解一下具体有哪些攻击手段。
一、HTTP的劣势
HTTP不具备必要的安全功能。就只是一个通用的单纯协议机制,有较多优势,但安全性方面呈劣势。
比如SSH协议的远程登录,SSH有协议级别的认证及会话管理等功能。HTTP则没有。
web应用中,浏览器接收到的HTTP请求的全部内容,都可以在客户端自由变更,篡改。所以web应用可能会受到与预期数据不符的内容。
在HTTP请求报文内添加攻击代码,就能发起对web应用的攻击。
二、针对web的攻击模式:
1.主动攻击
以服务器为目标的主动攻击:
主动攻击:攻击者通过直接访问web应用,把攻击代码传入的攻击模式。
如SQL注入,OS命令注入。
2.被动攻击
以服务器为目的的被动攻击:
被动攻击主要指利用圈套策略执行攻击代码的攻击模式,攻击者不直接对目标web应用访问发起攻击。
被动攻击的攻击模式:
- 1.攻击者诱使用户触发已经设置好的陷阱,而陷阱会启动发送已经嵌入攻击代码的HTTP请求。
- 2.当用户不知不觉中招后,用户的浏览器或邮件客户端会触发这个陷阱。
- 3.中招后用户浏览器会把含有攻击代码的HTTP请求发送给作为攻击目标的web应用,运行攻击代码。
- 4.执行完攻击代码,存在安全漏洞的web应用会成为攻击者的跳板,可能导致用户所持的cookie等个人信息被窃取。登录状态中的用户权限遭受到恶意滥用等后果。
如:跨站脚本攻击,跨站请求伪造CSRF
三、因输出值转移不完全引发的安全漏洞
应对:
实施web应用的安全对策分为两部分:
- 客户端的验证
- web应用(服务端)的验证:输入值验证,输出值转义。
1、跨站脚本攻击(cross-site scripting, xss)
XSS指通过存在安全漏洞的web网站注册用户的浏览器内运行非法的HTML标签或JavaScript进行的一种攻击。
动态创建的HTML可能隐藏有安全漏洞,攻击者编写脚本设下陷阱,用户在自己的浏览器上运行时,一不小心就会收到被动攻击。
影响:
- 利用虚假输入表单骗取用户个人信息。
- 利用脚本窃取用户Cookie值,被害者不知情的情况下,帮助攻击者发送恶意请求。
- 显示伪造的文章或图片。
2、SQL注入攻击:
指战队web应用使用的数据库,通过运行非法SQL产生的攻击,该安全隐患有可能引发极大的威胁。有时候会直接导致个人信息及机密信息的泄露。
web应用通常会用到数据库,当需要对数据库表内的数据进行搜索添加删除等操作时,会使用SQL语句连接数据库进行特定的操作,如果在调用SQL语句方式上存在疏漏,就会被恶意注入非法SQL语句。
危害:
- 非法查看或篡改数据库内的数据
- 规避认证
- 执行和数据库服务器业务相关联的程序
SQL --之后视为注释。
3、OS命令注入攻击
指通过web应用,执行非法的操作系统命令来达到攻击的目的。只要在能调用shell函数的地方就存在被攻击的风险。
OS命令注入可向shell发送命令,让Windows,Linux系统的命令行启动程序。
即,通过OS注入可执行OS上安装着的各种程序。
4、HTTP首部注入攻击
指攻击者通过在响应首部字段内插入换行,添加任意响应首部或主体的一种攻击。属于被动式攻击。
向首部主体内添加内容的攻击称为HTTP响应截断攻击。
危害:
- 设置任何cookie信息
- 重定向至任意URL
- 显示任意的主体
5、邮件首部注入攻击
指web应用中的邮件发送功能,攻击者通过向邮件首部To 或Subject内任意添加非法内容引起的攻击。利用存在安全漏洞的web网站,对任意邮件地址发送广告邮件或病毒邮件。
6、目录遍历攻击
对本无意公开的文件目录,通过非法截断其目录路径后,达成访问目的的一种攻击。也成为路径遍历攻击。
固然存在输出值转义问题,更应该关闭制定对任意文件名的访问权限。
7、远程文件包含漏洞
部分脚本内容需要从其他文件读入时,攻击者利用指定的外部服务器的URL充当依赖文件,让脚本读取之后,就可以运行任意脚本的一种攻击。
四、因设置或设计缺陷引发的安全漏洞
1、强制浏览
从安置在Web服务器的公开目录下的文件中,浏览那些原本非自愿公开的文件。
危害:
- 泄露顾客的个人信息等重要情报。
- 泄露原本需要具有访问权限的用户才可查阅的内容信息。
- 泄露未外连到外界的文件。
2、不正确的错误处理
该安全漏洞是指错误信息内包含了对攻击者有用的信息。如web抛出的错误信息,数据库抛出的错误信息。
3、开放重定向
对任意的URL做重定向跳转的功能,而此功能相关联的安全漏洞是指,加入指定的重定向URL到某个具有恶意的web网站,那么用户就会被诱导到那个web网站。
五、因会话管理疏忽引发的安全漏洞
会话管理是管理用户状态的必备功能,但是如果在会话管理上有疏忽,就会导致用户的认证状态被窃取等后果。
1、会话劫持(session hijack)
攻击者通过某种手段拿到了用户的会话ID(sid), 并非法使用会话ID伪装成用户,达到攻击目的。
会话攻击者拿到用户会话ID后就可以往自己的浏览器cookie中设置该会话ID,伪装成会话ID遭窃的用户,访问web网站。
2、会话固定攻击
强制用户使用攻击者指定的会话ID,属于被动攻击。设置陷阱,拿到会话ID,等待用户认证登录,若认证成功,就会在服务器内改变认证状态。攻击者就可以拿着会话ID作为已登录用户的身份顺利登录网站。
3、跨站请求伪造(CSRF)
攻击者设置陷阱,强制对已经认证的用户进行非预期的个人信息或设定信息的某些状态更新,属于被动攻击。
危害:
- 利用已经通过认证的用户权限更新设定信息。
- 利用已经通过认证的用户权限购买商品。
- 利用已经通过认证的用户权限在留言板上发表言论。
六、其他安全漏洞
1、密码破解
即算出密码,突破认证,攻击不仅限于web应用,还包括其他的系统(FTP、ssh等)。
密码破解的两种手段:
- 通过网络的密码是错
- 对已经加密密码的破解(攻击者入侵系统,移获得加密或散列处理的密码数据的情况)
出去突破认证的攻击手段,还有SQL注入攻击逃避认证,跨站脚本攻击窃取密码信息等方法。
通过网络进行密码试错:
对web应用提供的认证功能,通过网络尝试候选密码进行的一种攻击。
两种方式:穷举法,字典攻击。
- 穷举法
对所有秘钥集合构成的秘钥空间进行穷举,用所有可行的候选密码对目标的密码系统试错,用以突破验证的一种攻击。
例如:银行采用4位密码,那就从0000~9999全部数字逐个进行尝试。(笨,密码长度足够大,解密要花费数年,甚至前年)
- 字典攻击
利用事先收集好的候选密码,枚举字典中的密码,尝试通过认证的一种攻击手法。
例如:银行4位密码,考虑到用生日的比重大,所以将0101~1231保存为字典,进行尝试。
比穷举法快速,但是如果字典中没有正确选项,那么就无法破译密码。因此攻击的成败取决于字典的内容。
对已经加密的密码的破解:
web应用保存密码一般不会明文保存,通过散列函数做散列处理或者加salt的手段对要保存的密码本身加密,那即使攻击者使用某些手段窃取密码数据,如果要真正使用这些密码,必须要先用解码手段,还原成明码格式。
从加密数据中导出明文通常有以下几种方法:
- 通过枚举法,字典攻击进行类推
- 彩虹表:明文与与之对应的散列值构成的一张数据库表,通过实现制作庞大的彩虹表,在穷举法.字典攻击等实际破解过程中缩短消耗时间的技巧。
- 拿到秘钥:共享方式(对称),通过某种手段拿到就搞定。
- 加密算法的漏洞
2、点击劫持
利用透明的按钮,或者链接做成陷阱,覆盖在web页面上,然后诱使用户不知情的情况下,点击链接访问内容。又叫界面伪装。
3、DoS攻击
一种让运行中的服务呈停止状态的攻击。有时也叫停止攻击或拒绝服务攻击。
DoS攻击的对象不仅限于web网站,还包括网络设备及服务器等。
集中利用访问请求造成资源过载,资源用尽的同时,服务也呈停止状态。
通过攻击安全漏洞使服务停止。
多态计算机发起的DoS攻击为DDoS攻击。
4、后门程序
开发设置的隐藏入口,可不按照正常步骤使用受限功能,利用后门程序就能使用原本受限的功能。
后门程序分为如下三种:
- 开发阶段debug调用的后门程序。
- 开发者为了自身利益植入的后门程序。
- 攻击者通过某种方法设置的后门程序。
通过监视进程和通信状态发现被植入的后门程序。
扫一扫
1863
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
