2、常见的Web应用攻击

最新推荐文章于 2024-05-13 22:34:04 发布
最新推荐文章于 2024-05-13 22:34:04 发布
阅读量547 收藏 2
点赞数
分类专栏: 测试技巧 文章标签: web应用
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mayanyun2013/article/details/49401763
版权

       Open Web Application Security Project(OWASP),该组织致力于发现和解决不安全 Web 应用的根本原因。它们最重要的项目之一是“Web 应用的十大安全隐患”,总结了目前 Web 应用最常受到的十种攻击手段,并且按照攻击发生的概率进行了排序。这个项目的目的是统一业界最关键的 Web 应用安全隐患,并且加强企业对 Web 应用安全的意识。

    常见的 Web 应用攻击示例

   在 OWASP 组织列举的十大Web 应用安全隐患中,有两个概率最高的攻击手段,它们分别是“跨站点脚本攻击”(Cross-Site Scripting)和“注入缺陷”(Injection Flaws)。下面将通过举例来说明这两种攻击是如何实施的。

  跨站点脚本攻击 


       恶意攻击者(这里使用 Evil.org 表示)通过 E-mail 或 HTTP 将某银行的网址链接发给用户(银行用 bank.com 表示),该链接中附加了恶意的脚本(上图步骤一);用户访问发来的链接,进入银行网站,同时,嵌在链接中的脚本被用户的浏览器执行(上图步骤二、三);用户在银行网站的所有操作,包括用户的 cookie 和 session 信息,都被脚本收集到,并且在用户毫不知情的情况下发送给恶意攻击者(上图步骤四);恶意攻击者使用偷来的 session 信息,伪装成该用户,进入银行网站,进行非法活动(上图步骤五)。 
         因此,只要 Web 应用中,有可被恶意攻击者利用执行脚本的地方,都存在极大的安全隐患。黑客们如果可以让用户执行他们提供的脚本,就可以从用户正在浏览的域中偷到他的个人信息、可以完全修改用户看到的页面内容、跟踪用户在浏览器中的每一个动作,甚至利用用户浏览器的缺陷完全控制用户的机器。 
       目前,跨站点脚本攻击是最大的安全风险。

 注入缺陷 

        目前的 Web 应用中,绝大多数都会向用户提供一个接口,用来进行权限验证、搜索、查询信息等功能。比如一个在线银行应用,首先会有对注册客户进行身份验证的登录界面,在正确登录后,会提供更多交互功能,如根据客户的银行卡号信息,查询客户的最近交易、转账细节等。这些都是注入缺陷的最佳利用场景。所谓注入缺陷,就是在上述场景中,用户输入的数据被当做命令和查询的一部分,送到后端的解释器中解释执行。如果用户的输入是正常合法的,Web 应用自然会返回正常合理的结果,但是,如果恶意攻击者,利用输入数据可被后台执行的原理,偷梁换柱,使用非法的输入,脆弱的 Web 应用会怎样呢? 

       下面我们举一个例子来说明注入缺陷是如何进行的。在一个交易网站中,用户必须输入产品 ID 号才可以查看该产品的详细信息。为了实现这个需求,通常会用 SQL 语句查询数据库来实现。开发人员在编写应用程序时,可能会使用如下的 SQL 语句来实现上述目的(这里仅为示例): 
           1) Select * from products where product_id = ` + 用户输入的 ID + `  
这里的 products 是数据库中用来存放产品信息的表,+号表示 SQL 语句需要和用户输入的真实 ID 进行拼接。如果用户输入 325,则该语句在执行时变为: 
Select * from products where product_id = ` 325 ` 

         2) 在界面上,需要用户输入产品 ID 的地方,黑客会输入如下数据: ` or `1`= `1   
可以看到,黑客并没有输入正常合法的产品编号。 

         3) 通过黑客的非法输入,需要执行的 SQL 语句变为: Select * from products where product_id = ` ` or `1`=`1` 
可以看出,SQL 语句的意义就完全改变了,当产品 ID 为空或者 1=1 时,返回产品所有信息,而 1=1 是永远成立的条件,因此,黑客并没有输入任何产品编号,就可以返回数据库中所有产品的详细信息。

     通过这个例子,我们可以看出,注入缺陷是风险非常高的安全漏洞,一旦 Web 应用中给用户提供了需要其输入数据的接口,就有可能遭到攻击,将后台的数据完全暴露在用户的面前。 

  上述说明的“跨站点脚本攻击”和“注入缺陷攻击”,是目前 Web 应用中比例最高的两种攻击手段,按照 OWASP 的项目排序,还有如下八种风险性较高的攻击方法: 
Malicious File Execution(恶意文件执行);  
 Insecure Direct Object Reference(不安全的直接对象引用); 

  Cross-Site Request Forgery(跨站点的请求伪造);

 Information Leakage and Improper Error Handling(信息泄漏和不正确的错误处理); 

 Broken Authentication & Session Management(损坏的认证和 Session 管理);  

 Insecure Cryptographic Storage(不安全的密码存储);  

 Insecure Communications(不安全的通信); 

  Failure to Restrict URL Access(未能限制 URL 访问) 

mayanyun2013
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Web 应用程序攻击:它是什么以及如何防御它?
简介
06-24 2079
在过去几年中,Web 应用程序攻击是一种日益严重的网络安全威胁。在2022 年全球网络攻击增加38%,估计 46%的网站 在应用程序级别存在安全漏洞。因此,您的网站很可能容易受到这种类型的攻击,这就是为什么您必须了解 Web 应用程序攻击以及您可以采取哪些措施来防止它发生。在这里,我们将了解您需要了解的有关 Web 应用程序攻击以及如何防御它的所有信息。然而,让我们首先讨论 Web 应用程序攻击的基本概念。提示:以下是本篇文章正文内容,下面案例可供参考。
常见Web攻击方式有哪些?黑客:28种总有一款适合你
Karka_的博客
01-06 932
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
Web常见攻击方式及其防御策略
最新发布
读心悦
05-13 274
随着互联网技术的快速发展,Web应用已成为我们日常生活和工作中不可或缺的一部分。然而,Web应用也面临着各种安全威胁和攻击。了解这些常见攻击方式,并采取有效的防御策略,对于保护Web应用的安全至关重要。
常见Web网站攻击手段
何哥的博客
11-21 2941
网络安全不容忽视,整理常见Web网站攻击手段如下: XSS攻击 CSRF攻击 SQL注入攻击 文件上传漏洞 DDoS攻击 其他攻击手段 一、XSS攻击 XSS(Cross Site Scripting)跨站脚本攻击,为了不与层叠样式表(CSS)混淆,故将跨站脚本攻击缩写为XSS。原理即在网页中嵌入恶意脚本,当用户打开网页时,恶意脚本便开始在用户浏览器上执行,以盗取客户端cookie、用户名、密码,甚至下载木马程式,危害可想而知。 场景1:以一个表单输入举例说明 <input
常见web攻击
Galaxy_0的博客
01-17 407
常见web攻击
Web应用安全:常见Web应用威胁.pptx
06-19
常见Web应用威胁 网页篡改 SQL注入 跨站脚本 网页挂马 …… 非法入侵 暴力破解 目录遍历 越权访问 …… 拒绝服务 SynFlood CC攻击 IP欺骗性攻击 …… 1、SQL注入 SQL注入即是指web应用程序对用户输入数据的合法性...
常见web应用漏洞和检测方案
06-06
常见web应用漏洞和检测方案 明文信息传输漏洞 敏感信息泄露 默认或可猜解用户账户 会话重放攻击测试 验证码缺陷 http方法测试 不安全的cookie传输 CSRF漏洞测试 会话设计缺陷 会话定置测试 会话复杂度测试 会话...
Web应用常见漏洞修复方案
12-01
Web 应用程序中,安全漏洞是非常普遍的存在,而 SQL 注入攻击、跨站脚本攻击和跨站请求伪造是最常见的三种漏洞,本篇文章将详细介绍这三种漏洞的成因、危害和防护措施。 一、SQL 注入攻击 SQL 注入攻击是指攻击...
Web应用程序安全设计指南
02-27
最安全、最有能力抵御攻击Web应用程序是那些应用安全思想构建的应用程序。在设计初始阶段,应该使用可靠的体系结构和设计方法,同时要结合考虑程序部署以及企业的安全策略。如果不能做到这一点,将导致在现有基础...
WEB应用安全攻击与防范培训.ppt
07-22
WEB应用安全攻击与防范培训教程,包括各种常见web攻击方式及防范方法。超过百页的PPT教程,最全的WEB攻击与防范PPT教程
owasp shepherd 在线测试地址
maoguan121的博客
09-02 506
本文转自http://shepherd.anquanbiji.com/security_qa.html 基础安全测试 - owasp shepherd CN项目 作为开发和测试人员,如果想构建安全的系统,首先需要在实际web项目能够中查找到对应漏洞,进一步加深对漏洞的理解。 owasp shepherd CN 项目就是一套集合了常见安全漏洞的web系统,希望结合真实存在的安全漏洞,让开发和测试同学提高安全意识,进而打造安全系统 owasp shepherd CN 是一套集成了常见web漏洞的系统,每个页面
Web安全知多少
weixin_30896511的博客
08-05 1094
随着Web2.0、网络社交等一系列新型的互联网产品的诞生,基于Web环境的互联网应用越来越广泛,企业信息化的过程中,越来越多的应用都架设在Web平台上。Web业务的迅速发展吸引了黑客们的强烈关注,接踵而至的就是Web安全威胁的凸显。黑客利用网站操作系统的漏洞和Web服务程序的SQL注入漏洞等得到Web服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更为严重的则是在网页中植入恶意代码,使得...
文件上传漏洞
m0_60571990的博客
10-07 598
文件上传漏洞
【漏洞通告】WebSphere Application Server权限提升漏洞(CVE-2020-4362)通告
爱国小白帽
04-14 1873
【漏洞通告】WebSphere Application Server权限提升漏洞(CVE-2020-4362)通告 原创 威胁对抗能力部 [绿盟科技安全情报](javascript:void(0)???? 今天 通告编号:NS-2020-0025 2020-04-14 TA****G: WebSphere、权限提升、CVE-2020-4362 漏****洞危害: 攻击者利用此漏洞,可实现...
常见Web应用攻击手段
qq_43005544的博客
02-21 868
常见Web应用攻击手段 1.XSS攻击 XSS攻击即跨站点脚本攻击(Cross Site Script),指黑客通过篡改网页,注入恶意HTML脚本,在用户浏览网页时,控制用户浏览器进行恶意操作的一种攻击方式。 分类 1.1 反射型 攻击者诱使用户点击一个嵌入恶意脚本的链接,达到攻击的目的 1.2 持久型 黑客提交含有恶意脚本的请求,保存在被攻击Web站点的数据库中,用户浏览网页时,恶意脚本被包含在正常页面中,达到攻击的目的 防护手段 1.3消毒 XSS攻击者一般都是通过在请求中嵌入恶意脚
OWASP Security Shepherd靶场攻略-Lessons篇
weixin_42484187的博客
07-13 3788
OWASP Security Shepherd靶场攻略-Lessons篇 1.Broken Session Management(会话管理): 题目要求:研究下面的函数,是否欺骗服务器认为已经完成了本课程,返回key。 测试步骤: 拦截请求,做如图所示更改,获得key 提交key值: 2.Cross Site Scripting(跨站脚本攻击): 题目要求: 实现跨站脚本,弹出xss弹窗。 测试步骤: 常规输入即可, 提交key值。 3.Failure to Restrict URL Access 题
浅谈攻击Web应用常见的技术手段
站在搜素引擎上的巨人
08-16 2056
随着服务端脚本技术、组件技术等技术手段的成熟,基于web平台构建的应用信息系统成为了internet信息系统的主流,而且逐渐成为电信、金融、财税等关键领域公共信息系统的首选。其http协议网络数据流量占到整个internet tcp数据流量的70%左右,重要性无容置疑。目前,internet上部署运行着各种各样的web信息系统,这些系统的安全在很大程度上关系到整个internet的正常运转。近
(翻译)测试Web Application之三:进攻
Kiki的专栏-我译,我所爱
08-18 1496
测试Web Application之三:进攻 ---www.qalabs.com《Testing Web Applications Part 3: The Attack!》---Kiki翻译于2005/8/18 在“测试Web Application之二:准备作战”一文中,我给出了一些计划测试一个web application的建议。在这关于web application测试系列的最后一篇中。我将
关于Web应用安全:常见攻击形式
06-12
常见Web应用攻击形式包括: 1. SQL注入攻击攻击者通过在Web应用的表单或URL参数中注入SQL语句来执行恶意操作。 2. 跨站脚本攻击(XSS):攻击者通过注入恶意脚本来窃取用户信息或执行其他恶意操作。 3. 跨站...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值