针对Web应用的攻击模式
- 主动攻击
- 被动攻击
主动攻击:攻击者通过直接访问Web应用,把攻击代码传入的攻击模式。由于是直接针对服务器资源进行攻击,因此攻击者需要能够访问服务器的资源。如SQL注入攻击和OS命令注入攻击。被动攻击:设置圈套,诱使用户触发陷阱,从而启动发送已嵌入攻击代码的HTTP请求。如:跨站脚本攻击(CSS/XSS)、跨站点请求伪造。
Web应用的安全对策
- 客户端验证
- Web应用端(服务端)验证
- 输入值验证
- 输出值转义
因输出值转义不完全引发的安全漏洞
跨站脚本攻击(CSS/XSS)
恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意的特殊目的。 影响:骗取用户个人信息;窃取Cookie,发送恶意请求;显示伪造的文章和图片 解决方案:对输出变量中的危险符号< >";’( ) 等进行转义处理词转义处理或者过滤。
SQL注入攻击
针对Web应用使用的数据库,通过运行非法的SQL而产生的攻击。 影响:非法查看或篡改数据库数据;规避认证;执行和数据库服务关联的程序 解决方案:检查变量数据类型和格式,确保变量是我们预想的格式;过滤特殊符号;加密数据库信息
OS命令注入攻击
通过Web应用执行非法的操作系统命令达到攻击的目的。
跨站点请求伪造CSRF
攻击者通过设置好的陷阱,强制对已完成认证的用户进行非预期的个人信息更新 影响:利用已通过认证的用户权限:更新设定信息;购买商品;在留言板上留言。
1740
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
