web发展史
- web1.0
- 个人网站、门户站
- SQL注入、上传漏洞
- web2.0
- 微博、Blog
- XSS、CSRF
web流程
- 客户端/前段 钓鱼、暗链、XSS、点击劫持、CSRF、URL跳转
- 服务端/后端 SQL注入、命令注入、文件上传、文件包含、暴力破解
浏览器
- 浏览器
- 域名获取web服务器IP地址(DNS解析)
- 访问 WEB服务器
攻击类型
1. XSS
- 全称:Cross Site Script
- 中文名称:跨站脚本
- 危害:盗取用户信息、钓鱼、制造蠕虫
- 概念:黑客通过“HTML注入”篡改网页,插入恶意脚本,当用户在浏览网页时,实现控制用户浏览器行为的一种攻击方式。
- 类型:
- 存储型:构造XSS,写入数据库
- 反射型:XSS脚本链接,服务器接受后解析请求参数输出到页面(后端)
- DOM型:XSS脚本链接,JS获取参数解析URL内容输出DOM中(JS)
XSS类型 | 存储型 | 反射型 | DOM型 |
---|---|---|---|
触发过程 | 1.黑客构造XSS脚本 2.正常用户访问携带XSS脚本的页面 | 正常用户访问携带XSS脚本的URL | 正常用户访问携带XSS脚本的URL |
数据存储 | 数据库 | URL | URL |
谁来输出 | 后端WEB应用程序 | 后端WEB应用程序 | 前端JS |
输出位置 | HTTP响应中 | HTTP响应中 | 动态构造的DOM节点 |
2. CSRF
- 全称:Cross-site request forgery
- 中文名称:跨站请求伪造
- 危害:执行恶意操作(“被转账”、“被发垃圾评论”等),制造蠕虫
- 概念:利用用户已登录的身份,在用户毫不知情的情况下,以用户的名义完成非法操作
3. 点击劫持
- 概念:通过覆盖不可见的框架误导受害者点击而造成的攻击行为
- 特点:
- 隐蔽性较高
- 骗取用户操作
- “UI-覆盖攻击”
- 利用iframe或者其他标签的属性