Web的攻击技术

最新推荐文章于 2022-05-29 00:05:56 发布
最新推荐文章于 2022-05-29 00:05:56 发布
阅读量174 收藏
点赞数
分类专栏: HTTP 文章标签: http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45400916/article/details/120019566
版权

针对Web应用的攻击模式

主要有以下两种:
主动攻击和被动攻击

以服务器为目标的主动攻击

主动攻击(active attack)是指攻击者通过直接访问Web应用,把攻击代码传入的攻击模式。由于该模式是直接针对服务器上的资源进行攻击,因此攻击者需要能够访问到那些资源。
主动攻击模式里具有代表性的攻击是SQL注入攻击和OS命令注入攻击。

以服务器为目标的被动攻击

被动攻击(passive attack)是指利用圈套策略执行攻击代码的攻击模式。在被动攻击过程中,攻击者不直接对目标Web应用访问发起攻击。
被动攻击通常的攻击模式如下所示。
步骤1: 攻击者诱使用户触发已设置好的陷阱,而陷阱会启动发送已嵌入攻击代码的HTTP请求。
步骤2: 当用户不知不觉中招之后,用户的浏览器或邮件客户端就会触发这个陷阱。
步骤3: 中招后的用户浏览器会把含有攻击代码的HTTP请求发送给作为攻击目标的Web应用,运行攻击代码。
步骤4: 执行完攻击代码,存在安全漏洞的Web应用会成为攻击者的跳板,可能导致用户所持的Cookie等个人信息被窃取,登录状态中的用户权限遭恶意滥用等后果。

被动攻击模式中具有代表性的攻击是跨站脚本攻击和跨站点请求伪造。

跨站脚本攻击

跨站脚本攻击(Cross-Site Scripting,XSS)是指通过存在安全漏洞的Web网站注册用户的浏览器内运行非法的HTML标签或

最低0.47元/天 解锁文章
((٩(//̀/́/)۶))
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Web攻击技术(一)
javagty6778的博客
02-22 185
跨站脚本攻击(Cross-Site Scripting, XSS)是指通过存在安全漏洞的Web网站注册用户的浏览器内存运行非法的HTML标签或者JavaScript进行的一种攻击。利用两个联系的换行就可以做出HTTP首部与主体分隔所需要的空行,然后就可以插入伪造的主体,打到攻击的目的。SQL注入(SQL Injection)是指针对Web应用使用的数据库,通过运行非法的SQL而产生的攻击,该安全隐患有可能引发极大的威胁,有时会直接导致个人信息及机密信息的泄露。只要能调用Shell函数的地方就有可能被攻击
OS命令注入】常见OS命令执行函数以及OS命令注入利用实例以及靶场实验—基于DVWA靶场
m0_64378913的博客
06-26 2328
背景:程序员使用脚本语言(如PHP等)开发应用程序过程中,脚本语言开发十分快速、简洁、方便,但是也伴随着一些问题,比如速度慢、无法触及系统底层等。开发的应用时,特殊是企业级的一些应用需要去调用一些外部程序(系统命令或者exe等可执行文件),当应用需要调用一些外部程序时就会用到一些系统命令的函数。OS命令注入:当应用在调用这些系统命令函数时,如果将用户的输入作为系统命令的参数拼接到命令中,在没有过滤用户输入的情况下,就会造成命令执行漏洞。条件:漏洞危害:作用:该函数能够将字符串作为OS命令执行,自带输出功能。
(八)OS命令注入
weixin_43047908的博客
04-13 1444
什么是OS命令注入? 操作系统命令注入(也称为外壳程序注入)是一个Web安全漏洞,它使攻击者可以在运行应用程序的服务器上执行任意操作系统(OS命令,并且通常会完全破坏该应用程序及其所有数据。通常,攻击者可以利用OS命令注入漏洞来破坏托管基础结构的其他部分,利用信任关系将攻击转移到组织内的其他系统。 执行任意命令 考虑一个购物应用程序,该应用程序使用户可以查看特定商店中某商品是否有库存。可通过以下网址访问此信息: https://insecure-website.com/stockStatus?produc
Web安全知多少
weixin_30896511的博客
08-05 1096
随着Web2.0、网络社交等一系列新型的互联网产品的诞生,基于Web环境的互联网应用越来越广泛,企业信息化的过程中,越来越多的应用都架设在Web平台上。Web业务的迅速发展吸引了黑客们的强烈关注,接踵而至的就是Web安全威胁的凸显。黑客利用网站操作系统的漏洞和Web服务程序的SQL注入漏洞等得到Web服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更为严重的则是在网页中植入恶意代码,使得...
web攻击技术与防护
01-26
总的来说,防止Web攻击的关键在于强化输入验证、实施安全编码、使用安全的HTTP首部,并定期进行安全审计和漏洞修复。通过以上介绍的XSS和XSRF攻击及防御策略,开发者可以更好地保护他们的Web应用程序免受此类威胁。
Web攻击与防护
11-06
在早期的互联网中,web并非主流的互联网应用,相对来说,给予SMTP、POP3、FTP、IRC等协议的用户拥有绝大数的用户,因此黑客们攻击的主要目标就是网络、操作系统以及软件的领域,WEB安全领域的攻击防御与技术均处于...
web攻击.pdf
04-21
web应用攻击技术,ppt。有需要的可以下载使用参考。。。
Web攻击及防御技术
06-08
电子资源很好的学习了Web攻击及防御技术
常见的web攻击手段
diansheshi4163的博客
07-05 344
XSS:跨站脚本攻击 -典型实例为: 当用户在表达输入一段数据后,提交给服务端进行持久化。如果此用户输入的是一段脚本语言,而服务端 用户输入的数据没有经过转码、校验等就存入了数据库,在其他页面需要展示此数据时,就会执行此用户输入的语言。简单来说,JS的强大不用我来解释吧 -推荐防御措施: 对用户输入的信息进行转义,例如<>'等等特殊字符。当然,其实很多前端框架...
几种web攻击方式
朱海燕的博客日记
01-03 3741
一、Dos攻击(Denial of Service attack)   是一种针对服务器的能够让服务器呈现静止状态的攻击方式。有时候也叫服务停止攻击或拒绝服务攻击。其原理就是发送大量的合法请求到服务器,服务器无法分辨这些请求是正常请求还是攻击请求,所以都会照单全收。海量的请求会造成服务器停止工作或拒绝服务的状态。这就是Dos攻击。 二、DDOS攻击 概念 分布式拒绝服务攻击(Distrib...
Mac OS X:远程执行osascript命令
中国在线教育
03-26 7664
  Mac OS X:远程执行osascript命令及问题解决     对于系统管理/电脑维护人员,在Applr Remote Desktop的管理机上可以通过图形方式远程控制网络上的每台Mac电脑, 而很多时候需要发送Unix命令来完成工作。比如有时需要使用管理员帐户远程登录到每台电脑,大家普遍知道的命令是:  osascrip
Mac 远程命令工具
weixin_30412013的博客
07-12 634
转载于:https://www.cnblogs.com/BrightMoon/p/4479375.html
注入进阶之OS命令行注入
JBlock的博客
10-12 1万+
1.os命令注入介绍    OS指令执行是为了通过网络接口在web服务器执行OS命令的一种技术。如果应用程序使用外部输入的字符串或受外部影响的字符串组装命令,并且没有经过正确的过滤,就可能导致OS命令的注入攻击。 2.类型 第一种类型是,应用程序执行一个自己控制的固定程序,通过用户输入的参数来执行命令。这时,可以通过参数的分隔符,在参数中注入命令,来执行攻击者想要运行的命令。 第二种类型是
OS命令注入中的空格
arthur2612的博客
11-18 185
1、bash   空格可以替换为%20、%09(tab)、%2b(+) in url、{IFS} 2、Win shell   空格可以替换为%20、%09(tab)、%0b、%0c、%2b(+) in url 转载于:https://www.cnblogs.com/Primzahl/p/6077476.html...
【图解HTTP】|【09】Web攻击技术
weixin_45926547的博客
05-29 3383
文章目录1、针对Web攻击技术1.1 客户端即可篡改请求1.2 针对Web应用的攻击模式2、因输出值转义不完全引发的安全漏洞2.1 跨站脚本攻击2.2 SQL注入攻击 1、针对Web攻击技术 1.1 客户端即可篡改请求 HTTP请求报文内加载URL查询字段或表单、HTTP首部、Cookie等将攻击传入; 若Web应用存在安全漏洞,那么内部信息就会遭到窃取,或被攻击者拿到管理权限; 1.2 针对Web应用的攻击模式 对Web应用的攻击模式: - 主动攻击; - 被动攻击; 【主动攻击】:指攻击者通
常见的Web攻击手段-整理
热门推荐
loongshawn的博客
02-28 1万+
整理常见的Web攻击手段: XSS攻击 CSRF攻击 SQL注入攻击 文件上传漏洞 DDoS攻击 其他攻击手段
常见的web攻击方式及预防
liusaint1992的专栏
06-30 2818
1.sql注入。 在用户的输入被直接动态拼装sql语句时,可能用户的恶意输入被拼到了sql语句上,而造成了一些恶意操作。比如查询到一些数据甚至删除一些数据。一般应对方法是对sql语句进行预处理。 thinkPHP防sql注入:https://www.kancloud.cn/manual/thinkphp/1844# 2.XSS Cross Site Scripting。跨站脚本攻击。 ...
国科大web安全技术
最新发布
11-10
这一技术领域涉及到网络安全、软件工程、密码学等多个学科的知识,目的是为了防范黑客攻击、数据泄露、恶意软件等网络安全威胁。 国科大在web安全技术方面开展了丰富的教学和科研工作。在教学方面,国科大开设了...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值