hjr-WEB常见攻击方式

原创 2017年01月23日 00:32:07

注入

就是让攻击对象执行自己代码,注入不同的代码可以实现不同的攻击,而根据注入的方式划分了攻击名字

tips:谷歌浏览器的F12中的network可以查看数据包

不同的代码
比如cookie劫持,就是这段代码可以获取对方的cookie,比如钓鱼,就是这段代码可以弹出个假的密码输入窗口。

注入的方式

SOP(同源策略):
不同域名的客户端脚本在未授权的情况下不能读写别的域名的资源,域名就是www.xxx.com
我们建一个网页a.com,里面嵌入一个iframeiframe里是b.com网站的登录界面,用户登录后,在a.com的代码里获取iframe里的b.com的cookie

因为a.com与b.com不同源根据SOP不能实现,所以必须想一个办法,在域名不变的同时注入JS。

不限制

  1. 同源策略不限制写,只限制读。
  2. 引用其他域名的js文件,样式文件,图片文件什么的不被同源策略限制,页面中的链接,重定向以及表单提交是不会受到同源策略限制的。

限制

同源策略主要限制的不同源之间js中的XMLHttpRequest等请求

  1. 不能通过ajax的方法或其他脚本中的请求去访问不同源中的文档。
  2. 浏览器中不同域的框架之间是不能进行js的交互操作的。

正规方式绕过

有时一些网站提供公共接口给别人用,比如查看天气,翻译之类的,所以同源策略有正规方式绕过

  1. 跨域资源共享(CORS)
    添加一个标明公共资源的头部。
  2. JSONP
    原理是客户端告诉服务一个回调函数的名称,服务在返回的scritp里面调用这个回调函数,同时传进客户端需要的数据。

违法方式绕过

1.CSRF(跨站请求伪造)
详情见下

浏览器安全

目的是让客户端执行自己的代码

XSS(跨站脚本攻击)

反射型:JS注入到客户端浏览器的URL中。
DOM型:JS注入到客户端html页面的DOM中。

诱使用户访问URL或点击执行JS

存储型:JS注入到服务器数据库中。
比如写到评论里,这样所有点击查看评论的用户都会执行该JS代码。

CSRF(跨站请求伪造)

诱使用户访问第三方网站,在那个网站里就会有一段可以在用户不知情时,执行用户已经登录过的网站的操作代码。
由于并不是用户自己的操作所以叫请求伪造。

区别:
XSS:是把JS代码注入到攻击站点(进行窃取Cookie,钓鱼之类的)
CSRF:是伪造对攻击站点的请求(进行利用用户身份做某事)
本质相同侧重不同。

点击劫持

这个不是攻击其他站点,而是攻击者在自己的正常网页上放置透明不可见的Iframe,用户的想要进行正常操作却点击到了透明的Iframe,因此在不知情的情况下执行了攻击者想要其执行的操作,图片覆盖和拖拽劫持同理。

服务器安全

SQL注入

用户输入的内容被当成SQL语句执行了

检测漏洞方法

  1. 盲注:先输入and 1=1,再输入and 1=2,如果一个返回正常一个返回错误,说明此处有SQL注入漏洞。
  2. 技巧注:根据响应时间长短,输入数据库特有的函数方法等

上传注入

  1. 用户上传的文件是对服务器操作的代码,上传后通过URL访问该文件执行Shell操作
  2. 用户上传的文件是钓鱼网页的代码,上传后把url发给别人,别人看到域名是正规网站,钓鱼更易成功。

DDOS

同时大量的访问使目标网站卡死

版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/hjrcrj/article/details/54677589

常见的网络攻击方式

  • 2013年03月15日 21:20
  • 180KB
  • 下载

网站安全之几种常见的网络攻击方式

网站安全之几种常见的网络攻击方式
  • netuser1937
  • netuser1937
  • 2016-12-19 13:50:53
  • 708

浅谈常用的几种web攻击方式以及解决办法

身在互联网的时候,web在给我们带来便利的同时,有些人也在盯着这些便利,因此出现了攻击网站的现象。所以我们在开发的时候,要注意这些容易被攻击的地方,以及做好防御的措施,下面将介绍一些这些常见的攻击手段...
  • zou2ouzou
  • zou2ouzou
  • 2017-03-08 23:47:27
  • 1730

网络上常见的攻击方式以及防御系统

病毒:注重攻击的破坏力,编程计算机中插入破坏计算机功能或数据的代码,能自我复制的一组计算机指令和代码。 木马:通过得听特定程序来控制另一台计算机,木马通常有两个执行程序:一个控制端,另一个被控制端;木...
  • baidu_27386223
  • baidu_27386223
  • 2015-08-02 17:22:36
  • 1518

网络攻击的主要方式

http://city.6to23.com/html/34/2005/10/1484_1.htm来自这里的这篇文章,最近研究这个,要弄清一些问题。网络攻击的方式要分为四类:  第一类是服务拒绝攻击,包...
  • mycmyc2003
  • mycmyc2003
  • 2007-10-08 10:51:00
  • 3007

常见十大web攻击手段

http://zhengj3.blog.51cto.com/6106/290728 常见针对 Web 应用攻击的十大手段 目前常用的针对应用漏洞的攻击已经多达几百种,最为常见的攻击为下表列出的...
  • ccecwg
  • ccecwg
  • 2014-11-17 15:02:37
  • 741

web网站常见攻击方式之XSS

XSS-----------跨站脚本攻击 在Web页面中插入恶意代码,用户在浏览该页面时,恶意代码被执行,从而达到恶意用户的目的。 一般由于对用户输入没有严格的控制,直接输出页面,可能受到XSS攻...
  • zhi_Miss
  • zhi_Miss
  • 2016-03-18 20:03:14
  • 630

针对PHP的网站主要存在下面几种攻击方式:

针对PHP的网站主要存在下面几种攻击方式: 1、命令注入(Command Injection) 2、eval注入(Eval Injection) 3、客户端脚本攻击(Script Insertion)...
  • kaka_2014
  • kaka_2014
  • 2013-05-17 17:01:28
  • 714

常见的网站攻击方式和防护方式

第一种:DOS攻击  攻击描述: 通过协议方式,或抓住系统漏洞,集中对目标进行网络攻击,让目标计算机或网络无法提供正常的服务或资源访问,使目标系统服务系统停止响应甚至崩溃。例如疯狂Ping攻击...
  • lovely_girl1126
  • lovely_girl1126
  • 2016-09-19 16:20:00
  • 918

常见的安全攻击方式及防御简介

跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插...
  • u014332935
  • u014332935
  • 2014-10-22 10:39:28
  • 1775
收藏助手
不良信息举报
您举报文章:hjr-WEB常见攻击方式
举报原因:
原因补充:

(最多只允许输入30个字)