常见Web攻击技术

最新推荐文章于 2023-03-29 17:14:24 发布
最新推荐文章于 2023-03-29 17:14:24 发布
阅读量305 收藏
点赞数
分类专栏: 安全 日常总结
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qj6837/article/details/86693514
版权

针对Web的攻击模式分为两种:

  • 主动攻击(SQL注入攻击与OS命令注入攻击)
  • 被动攻击(跨站脚本攻击和跨站点请求伪造)
一。因输出值转义不完全引发的安全漏洞
跨站脚本攻击

跨站脚本攻击(XSS)指通过存在安全漏洞的Web网站注册用户的浏览器内运行非法的HTML标签或者JavaScript进行的一种攻击。
造成的影响:

  • 利用虚假输入表单骗取用户个人信息
    在表单提交的页面中隐藏着可执行的跨站脚本攻击的漏洞,通过脚本将用户提交的信息发送到攻击者的网站。
  • 利用脚本窃取用户的Cookie值,被害者在不知情的情况下,帮助攻击者发送恶意请求
  • 显示伪造的文章或图片
SQL注入攻击

SQL 注入(SQL Injection)是指针对Web应用使用的数据库,通过运行非法的SQL而产生的攻击。
造成的影响:

  • 非法查看或篡改数据库内的数据
  • 规避认证
  • 执行和数据库服务器业务相关的程序等
OS命令注入攻击

是指通过Web应用,执行非法的操作系统命令达到攻击的目的。只要在能调用Shell函数的地方就有存在被攻击的风险。

HTTP首部注入攻击

HTTP首部注入攻击(HTTP Header Injection)是指攻击者通过在响应首部字段内插入换行,添加任意响应首部或主体的一种攻击。属于被动攻击模式。向首部主体内添加内容的攻击称为HTTP响应截断攻击。
造成的影响:

  • 设置任何的Cookie信息
  • 重定向至任意URL
  • 显示任意的主体(HTTP响应截断攻击)(将%0D%0A%0D%0A并排插入字符串后发送)
邮件首部注入攻击

邮件首部注入(Mail Header Injection)是指Web应用中的邮件发送功能,攻击者通过邮件首部To或Subject内任意添加非法内容发起的攻击。

目录遍历攻击

目录遍历(Directory Traversal)攻击是指对本无意公开的文件目录,通过非法截断其目录路径后,达成访问目的的一种攻击。这种攻击有时也称为路径遍历(Path Traversal)攻击。

远程文件包含漏洞

远程文件包含漏洞(Remote File Inclusion)是指当部分脚本内容需要从其他文件读入时,攻击者利用指定外部服务器的URL充当依赖文件,让脚本读取之后,就可运行任意脚本的一种攻击。

二。 因设置或设计上的缺陷引发的安全漏洞
强制浏览

强制浏览(Forced Browsing)安全漏洞是指,从安置在Web服务器的公开目录下的文件中,浏览那些原本非自愿公开的文件。
造成的影响:

  • 泄露顾客的个人信息等重要情报
  • 泄露原本需要具有访问权限的用户才可查阅的信息内容
  • 泄露未外连到外界的文件
不正确的错误消息处理

不正确的错误消息处理(Error Handling Vulnerability)的安全漏洞是指,Web应用的错误信息内包含对攻击者有用的信息。
与Web应用有关的主要错误信息:Web 应用抛出的错误消息、数据库等系统抛出的错误消息
系统抛出的错误主要集中:PHP或ASP等脚本错误、数据库或中间件的错误、Web服务器的错误

开放重定向

开放重定向(Open Redirect)是一种对指定的任意URL作重定向跳转的功能。而于此功能相关联的安全漏洞是指,假如指定的重定向URL到某个具有恶意的Web网站,那么用户就会被诱导至那个Web网站。

三。因会话管理疏忽引发的安全漏洞
会话劫持

会话劫持(Session Hijack)是指攻击者通过某种手段拿到了用户的会话ID,并非法使用此会话ID伪装成用户,达到攻击的目的。
下面列举了几种攻击者可获得会话ID的途径

1.通过非正规的生成方法推测会话ID
2.通过窃听或XSS攻击盗取会话ID
3.通过会话固定攻击(Session Fixation)强行获取会话ID

若攻击者知道网站存在XSS的安全漏洞,可利用js脚本调用document.cookie以窃取Cookie信息,得到用户的会话ID。

会话固定攻击

对以窃取目标会话ID为主动攻击手段的会话劫持而言,会话固定攻击(Session Fixation)攻击会强制用户使用攻击者指定的会话ID,属于被动攻击。

跨站点请求伪造

跨站点请求伪造(Cross-Site Request Forgeries,CSRF)攻击是指攻击者通过设置好的陷阱,强制对已完成认证的用户进行非预期的个人信息或设定信息等某些状态更新,属于被动攻击。
造成的影响:
1.利用已通过认证的用户权限更新设定信息等
2.利用已通过认证的用户权限购买商品
3.利用已通过认证的用户权限在留言板上发表言论

其他安全漏洞

1.密码破解

  • 通过网络的密码试错
  • 对已加密密码的破解

2.点击劫持
点击劫持(Clickjacking)是指利用透明的按钮或链接做成陷阱,覆盖在Web页面之上。然后诱使用户在不知情的情况下,点击那个链接访问内容的一种攻击手段。
3.Dos攻击(拒绝服务攻击)
4.后门程序

Muqiu7890
关注
专栏目录
常见web攻击技术
wx249652952的博客
06-07 9569
今天看图解http,里面讲了些常见web攻击技术,写一个博客对其原理及其应对方式进行一个整理 1、xss跨站攻击技术:主要是攻击者往网页里嵌入恶意脚本,或者通过改变html元素属性来实现攻击,主要原因在于开发者对用户的变量直接使用导致进入html中会被直接编译成js,通常的get请求通过url来传参,可以在url中传入恶意脚本,从而获取信息,解决方法:特殊字符过滤。 2、sql注入攻击:主要
常见web攻击总结
ltycsdn007的博客
09-05 1351
Web开发离不开安全这个话题,确保网站或者网页应用的安全性,是每个开发人员都应该了解的事。本篇主要简单介绍在Web领域几种常见攻击手段及Java Web中的预防方式。 XSS SQL注入 DDOS CSRF 1. XSS 什么是XSS XSS攻击:跨站脚本攻击(Cross-Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆...
Web攻击技术
GSON的博客
05-04 1350
序言:互联网上的攻击大都将 Web 站点作为目标。本章讲解具体有哪些攻击 Web 站点的手段,以及攻击会造成怎样的影响
web服务器攻击的八种方式
最新发布
2301_76161259的博客
03-29 3289
随着互联网的高速发展,网络走进了千家万户,同时也有很大一部分人架设起了自己的网站。继而不安分的黑客们,又将目光对准了服务器攻击这个方式,从而破坏或取得服务器的管理权限。本文将主要讲述针对web服务器攻击的八种方式。这种是ASP+ACCESS的网站入侵方式,通过注入点列出数据库里面管理员的帐号和密码信息,然后猜解出网站的后台地址,然后用帐号和密码登录进去找到文件上传的地方,把ASP木马上传上去,获得一个网站的WEBSHELL,从而达到服务器攻击的目的。
常见Web网站攻击手段
何哥的博客
11-21 3306
网络安全不容忽视,整理常见Web网站攻击手段如下: XSS攻击 CSRF攻击 SQL注入攻击 文件上传漏洞 DDoS攻击 其他攻击手段 一、XSS攻击 XSS(Cross Site Scripting)跨站脚本攻击,为了不与层叠样式表(CSS)混淆,故将跨站脚本攻击缩写为XSS。原理即在网页中嵌入恶意脚本,当用户打开网页时,恶意脚本便开始在用户浏览器上执行,以盗取客户端cookie、用户名、密码,甚至下载木马程式,危害可想而知。 场景1:以一个表单输入举例说明 <input
因输出值转义不完全引发的安全漏洞
tumi
07-19 3173
因输出值转义不完全引发的安全漏洞: 1、跨站脚本攻击(是指通过存在安全漏洞的Web网站注册用户的浏览器内运行非法的HTML标签或JavaScript进行的一种攻击。) 2、SQL注入攻击(是指针对Web应用使用的数据库,通过运行非法的SQL而产生的攻击。) 3、OS命令注入攻击(是指通过Web应用,执行非法的操作系统命令达到攻击目的。只要在能调用Shell函数的地方就有存在被攻击的风险。) ...
web攻击技术与防护
01-26
总的来说,防止Web攻击的关键在于强化输入验证、实施安全编码、使用安全的HTTP首部,并定期进行安全审计和漏洞修复。通过以上介绍的XSS和XSRF攻击及防御策略,开发者可以更好地保护他们的Web应用程序免受此类威胁
web攻击技术——扫描
aaaxinxin_的博客
01-19 1882
目录 一、扫描器 二、web漏洞扫描三阶段 三、web安全漏洞扫描技术 (1)ping扫射 (2)操作系统探测 (3)firewalking (4)端口扫描 ①原理释义: ②端口状态说明: ③使用nmap扫描器的常用命令 (5)漏洞扫描 ①web利用率最高的漏洞: ②对常见的漏洞描述: 一、扫描器 1.SATAN 2.ISS Internet Scanner 3.Nessus 4.Nmap X-scan 二、web漏洞扫描三阶段 一、发现目标主机或网络
信息安全技术WEB攻击概述.pptx
11-01
**常见Web安全攻击技术** 1. **SQL注入**:利用应用程序对用户输入的数据处理不当,注入SQL命令执行。 2. **XSS**:通过在网页中插入恶意脚本,使得浏览器在用户访问页面时执行。 3. **CSRF**:利用用户的认证...
web安全知识点(常见web攻击总结)
yin_fei_lnmp的博客
06-03 2200
目录一、XSS—跨站脚本攻击1、原理2、非持久XSS(反射型XSS)2.1、特点2.2、如何防止3、持久性XSS(存储型XSS)3.1、条件3.2、特点二、CSRF—跨站请求伪造攻击1、原理2、条件3、预防CSRF三、SQL注入1、原理2、预防四、命令行注入五、DDOS攻击—分布式拒绝服务攻击1、原理2、网络层DDOS2.1、SYN flood2.2、ACK flood2.3、UDP flood2.4、ICMP flood2.5、网络层DDOS防御3、应用层DDOS3.1、CC攻击3.2、DNS flood
黑客通过网页或电子邮件进行攻击的主要类型
TJT999
02-20 2788
<br />摘自:黑客入侵网页攻防修炼<br />黑客通过网页或电子邮件所进行的攻击大致包括以下几类:<br />命令注入攻击(Command Injection);:如:页面中有执行操作系统命令的指令的话,就可以利用URL参数传入一些敏感信息,来窃取隐私数据。<br /> eval注入攻击(Eval Injection) ;eval将文本转化为命令执行,<br /> 客户端脚本攻击(Script Insertion) <br /> 跨网站脚本攻击(Cross Site Scripting,XSS)
【JavaWeb知识】Web常见攻击技术
No8g攻城狮的博客
03-24 1070
互联网上的攻击大都将Web站点作为目标。本章讲解具体有哪些攻击Web站点的手段,以及攻击会造成怎样的影响。 针对Web攻击技术 简单的 HTTP 协议本身并不存在安全性问题,因此协议本身几乎不会成为攻击的对象。 应用 HTTP 协议的服务器和客户端,以及运行在服务器上的 Web 应用等资源才是攻击目标。目前,来自互联网的攻击大多是冲着 Web 站点来的,它们大多把Web 应用作为攻击目标。本...
邮件注入攻击
weixin_39157582的博客
01-28 3534
1. 简介 注入原理: 这个地方首先要说一下邮件的结构,分为信封(MAIL FROM、RCPT TO)、头部(From,To,Subject、CC、BCC等)、主体(message),所谓的邮件头注入,其实就是针对头部的部分。使用telnet对25端口进行手工发邮件的过程的事后会发现,对于邮件头部的字段其实就是换行符0x0A或者0x0D...
邮件ID格式设计简述
终极程序
02-24 1596
服务器邮件ID格式设计,最简单的办法是在数据表中加一个自增ID,简单易用,但是这样会导致很多问题,比如插入后自增ID的查询问题,合服后的ID冲突等。我们可以用一个简单的办法来解决问题,增加一个唯一的USER ID 和自增ID在一起组成联合主键。还有一个办法是用服务器名字的哈希值设置一个长度20左右的唯一ID,每次重新生成一个即可。...
js调试方法总结
qj6837的博客
06-18 4140
好的调试方法会大大提高debug的速率。在js中,开发人员调试时最常用的方式即为console.log(),但是不免存在局限性。 接下来总结几种常用的调试方法: alert alert是比较常用的debug方式,但是alert最大的局限性–只能打印字符串。如果显示内容不为字符串,alert会调用toString()方法将该对象转化为字符串(eg:[object object],其具体内容并不会显...
js创建对象的方法总结
qj6837的博客
04-22 3135
1. 对象字面量方式 var person = { name: "XiaoMing", age: 29, job: "Software Engineer", sayName: function () { alert(this.name) } 2.object构造函数 var person = new Object(); person.name = "X...
section、article、aside区别及HTML5语义化标签
qj6837的博客
09-10 2638
在HTML5标准中,新加了几个用于增添页面语义的标签,这些标签有:article、section、nav和aside等。与别的大多数标签不同,浏览器在解释渲染这些标签的时候仅仅把它们作为普通的div块级元素来进行处理,不会添加任何额外的展现逻辑;也即,这些标签仅用于增添语义。对于Web开发人员而言,使用这些标签的实际意义主要有2点:搜索引擎优化(SEO),以及增加页面的可用性(accessibil...
表单同步提交与异步提交
qj6837的博客
12-09 2437
同步提交 &lt;form id="register_form" method="post" action="/register"&gt; &lt;div class="form-group"&gt; &lt;label for="email"&gt;邮箱&lt;/label&gt; &lt;i
Web攻击技术详解:跨站脚本攻击(XSS)与防护策略
"web攻击技术与防护" Web攻击技术与防护是网络安全领域的重要组成部分,主要关注如何保护Web应用程序免受恶意攻击。跨站脚本攻击(Cross-Site Scripting,简称XSS)是其中一种常见攻击手段,它利用Web应用的漏洞...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值