【图解HTTP学习】
1、针对Web应用的攻击模式:
- 主动攻击
- 被动攻击
(1)以服务器为目标的主动攻击
主要攻击服务器上的资源;
主动攻击是指攻击者通过直接访问web应用,把攻击代码传入的攻击模式。由于该模式是直接针对服务器上的资源进行攻击,因此攻击者需要能够访问到那些资源。
主动攻击里面具有代表性的攻击是SQL注入攻击和OS命令注入攻击;
(2)以服务器为目标的被动攻击
主要攻击用户的资源和权限;利用用户身份的攻击(对企业内网发起攻击);
被动攻击是指利用圈套策略进行攻击代码的攻击模式。在被动攻击过程中,攻击者不直接对目标web应用访问发起攻击。
被动攻击模式中具有代表性的攻击是跨站脚本攻击(XSS)和跨站点请求伪造(CSRF)。
2、web应用的安全对策可大致分为以下两部分
- 客户端的验证
- web应用端(服务器端)的验证
(1)HTTP首部注入攻击:向首部主体内添加内容的攻击成为称为HTTP响应截断攻击(被动攻击);
(2)邮件首部注入攻击:攻击者通过向邮件首部To或Subject内任意添加非法内容发起的攻击;
(3)目录遍历攻击
(4)远程文件包含漏洞
(5)Dos攻击(海量请求,让服务器停止)
(6)密码破解
(7)点击劫持(利用透明的按钮或链接做成陷阱,覆盖在web页面之上,这种行为又称为界面伪装)