常见web安全类攻击的定义及对应防御方法(二)

已于 2024-09-25 17:14:53 修改
阅读量393 收藏 7
点赞数 3
分类专栏: Web安全 文章标签: web安全 安全 网络
于 2024-09-23 10:44:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_68491709/article/details/142450562
版权

1.文件包含漏洞

定义:

攻击者通过向 Web 应用程序中的文件包含函数提供恶意文件名来执行未经授权的操作。比如读取敏感文件、执行系统命令、获取数据库信息等。这种漏洞通常出现在PHP等动态网页语言中,当应用程序使用用户提供的输入直接包含文件时容易发生。

文件包含:在各种开发语言中都提供了内置的文件包含函数,可以使开发人员在一个代码文件中直接包含(引入)另外一个代码文件。

根据不同的配置环境,文件包含漏洞分为如下两种情况:
(1)本地文件包含漏洞(LFI):仅能够对服务器本地的文件进行包含,由于服务器上的文件并不是攻击者所能够控制的,因此该情况下,攻击者更多的会包含一些固定的系统配置文件,从而读取系统敏感信息。很多时候本地文件包含漏洞会结合一些特殊的文件上传漏洞,从而形成更大的威力。
(2)远程文件包含漏洞(RFI):能够通过url地址对远程的文件进行包含,这意味着攻击者可以传入任意的代码,这种情况很严重。

如何防御:

(1)限制包含文件的目录

限制被包含的文件只能在某一文件内,一定要禁止目录跳转字符,如:“../”;

(2)使用白名单来验证文件名

验证被包含的文件是否是白名单中的一员;

(3)使用安全的文件包含函数

在代码中使用安全的文件包含函数,如include_once()或require_once(),避免使用可变变量作为文件包含的路径。

2.缓冲区溢出攻击

定义:

攻击者通过向程序中的缓冲区输入数据中输入超出缓冲区大小的数据来修改程序的执行流程。

原理主要是利用程序中存在的缓冲区溢出漏洞。当程序没有仔细检查用户输入的参数时,攻击者可以通过输入超出缓冲区边界的恶意数据来破坏程序的正常执行流程。这些数据可以覆盖程序中的其他数据或函数返回地址,导致程序执行攻击者指定的恶意代码。

例如,在一个简单的C语言程序中,如果程序使用固定大小的缓冲区来接收用户输入,而攻击者输入的数据超过该缓冲区的容量,就会发生缓冲区溢出。攻击者可以构造恶意输入,覆盖函数返回地址,使程序在执行完毕后跳转到攻击者指定的恶意代码处执行。

如何防御:

(1)栈随机化

栈随机化是一种在每次程序运行时改变栈内存布局的技术,从而增加攻击者预测和利用栈中特定位置信息的难度。具体来说,当程序开始执行时,操作系统会在栈上分配一段随机大小的空间,这个空间不用于存储任何有效的数据或代码,但会导致后续栈帧的位置在每次程序运行时都有所变化。

通过这种方式,攻击者很难确定他们插入的恶意代码或指向这段代码的指针应该放在栈的哪个位置。即使攻击者能够成功插入恶意代码,由于栈位置的随机性,他们也很难确保这段代码能够被执行。因此,栈随机化能够有效地降低缓冲区溢出攻击的成功率。

(2)堆栈保护器

在最新的GCC版本中,通过加入一种称为“栈保护者”(stack protector)的机制用于检测缓冲区溢出是否发生。具体来说,编译器会在栈帧中的局部缓冲区与栈状态之间存储一个特殊的金丝雀(canary)值,也称为哨兵值(guard value)。这个值是程序每次运行时随机产生的。

在函数返回或恢复寄存器状态之前,程序会检查这个金丝雀值是否被篡改。如果值被改变,说明有缓冲区溢出发生,程序会立即异常终止,从而防止攻击者利用这个溢出执行恶意代码。通过栈破坏检测,系统能够在攻击者利用缓冲区溢出漏洞之前发现并阻止攻击。

(3)限制可执行代码区域

限制可执行代码区域是一种用于消除攻击者向系统插入可执行代码能力的机制。其基本思想是,只有那些包含编译器产生的代码的存储器区域才允许执行代码,而其他区域则只能用于存储数据。

通过限制可执行代码区域,系统能够防止攻击者利用缓冲区溢出漏洞向程序中插入恶意代码并执行。即使攻击者能够成功地将恶意代码写入某个内存区域,由于该区域不允许执行代码,这些代码也无法被执行。

3.端口扫描

定义:

攻击者通过扫描网络上的计算机来查找开放的端口,从而找到可以攻击的目标。

如何防御:

(1)使用网络防火墙

(2)隐藏不需要开放的端口

(3)使用入侵检测系统(IDS)和入侵防御系统(IPS)

IDS 和 IPS 都是网络安全设备,它们的作用是监视网络活动并响应潜在威胁。IDS 被用来监视网络流量并生成警报,以便安全团队能够及时进行调查。IPS 则可以根据预设规则自动阻止潜在的攻击。这是两个不同的设备,其中 IDS 被用来监视网络流量并生成警报,而 IPS能够自动响应潜在的威胁。

4.中间人攻击

定义:

攻击者在用户与服务器之间插入自己的计算机,从而窃取数据或执行未经授权的操作。

如何防御:

(1)使用 HTTPS 协议

(2)使用数字证书验证

(3)使用公钥基础设施(PKI)

5.密码破解攻击

定义:

攻击者通过暴力猜测密码来访问受保护的资源。

如何防御:

(1)使用强密码策略

(2)使用多因素身份验证

(3)使用哈希函数加密存储密码

喵喵拳夺旗大法好
关注
专栏目录
常见web安全类攻击定义对应防御方法(一)
weixin_68491709的博客
09-22 866
简单来说就是攻击者盗用了用户的身份,以用户的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以用户的名义发送邮件、发消息,盗取用户的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。也就是说,攻击者使用一个透明的 iframe 覆盖在目标网页上,由于 iframe 是透明的,用户看不到顶层的实际内容,从而在执行操作时,以为是点击了底层的内容,但实际上是点击了顶层 iframe 中的内容。开头的域名,则说明该请求是来自银行网站自己的请求,是合法的。
浅析常见WEB安全漏洞及其防御措施_web漏洞防护
Z4400840的博客
06-25 967
网络攻防中,Web系统通常是攻击者的首选目标,攻击者大都通过Web打点的方式,先拿到边界Web服务器的权限,再以此为跳板实施内网横向渗透。由于Web系统通常涉及大量的用户数据和敏感信息,一旦受到攻击或破坏,可能造成数据泄露、服务中断等影响。相较于攻击方,Web系统也是防守方的重点防护对象。作为安全开发或安全运营人员,及早发现和修复潜在的WEB安全漏洞,不仅有助于提高互联网业务系统的稳定性,也能降低后期安全运营工作的压力和成本。【一一帮助安全学习,所有资源获取处一一】①网络安全学习路线。
常见web漏洞原理,危害,防御方法
shayebudon的博客
03-28 6611
一 暴力破解 概述:在web攻击中,一般会使用这种手段对应用系统的认证信息进行获取。 其过程就是使用大量的认证信息在认证接口进行尝试登录,直到得到正确的结果。 为了提高效率,暴力破解一般会使用带有字典的工具来进行自动化操作。 危害:用户密码被重置,敏感目录.参数被枚举 防御方法: 1.要求用户使用高强度密码 2.使用安全的验证码 3.对尝试登录的行为进行判断和限制 4.采用双因素认证 xss跨站脚本攻击 概述:分为反射型,存储型,DOM型 原理:程序对输入和输出没有做合适的处理,导致精心构造的字符输出在
常见web安全问题概念介绍以及防御方法
翾的博客
06-30 1290
XSS ( 跨站脚本攻击 ) 定义: 通过恶意攻击者往WEB页面插入恶意JS代码, 当用户浏览, 嵌入的代码会被执行, 达到恶意攻击用户控制浏览器的目的. xss是代码注入的一种. 分类 反射型 攻击者将跨站代码写在链接中, 受害者请求这种连接时, 跨站代码经过服务端反射回来触发, 此类代码不会存储到服务端. 存储型 攻击者将恶意数据存储到服务端的数据库中, 服务器脚本从数据库中获取该...
Web安全:企业如何抵御常见网络攻击
m0_66326520的博客
05-16 929
针对网站的攻击有多种形式,攻击者既可以是业余黑客,也会是协同作战的职业黑客团伙。最关键的一条建议,就是在创建或运营网站时不要跳过安全功能,因为跳过安全设置可能会造成严重后果。虽然不可能完全消除网站攻击风险,但你至少可以缓解遭攻击的可能性和攻击后果的严重性。遭受攻击后,不仅需要及时的响应处置还需要避免同类事件的发生,因此事后的复盘分析尤为重要,做好安全防护才是最高效的网络攻击解决方案。
浅析常见WEB安全漏洞及其防御措施
weixin_57514792的博客
06-18 1115
浅析常见WEB安全漏洞及其防御措施
常见Web安全漏洞总结及防范措施
chenlijian的博客
03-22 1万+
PCI DSS数据安全测评旨在促进并增强持卡人账户数据安全,为保护帐户数据的技术和操作要求提供了一个基准,便于统一的数据安全措施在全球范围内的广泛应用。PCI DSS 适用于参与支付卡处理的所有实体——包括商户、处理商、收单机构、发卡机构和服务提供商。PCI DSS 还适用于存储、处理或传输持卡人数据 (CHD) 和/或敏感验证数据 (SAD) 的所有其他实体。
常见web安全漏洞_web漏洞
2401_84215240的博客
08-06 1012
​ “暴力破解”是一攻击具手段,在web攻击中,一般会使用这种手段对应用系统的认证信息进行获取。其过程就是使用大量的认证信息在认证接口进行尝试登录,直到得到正确的结果。为了提高效率,暴力破解一般会使用带有字典的工具来进行自动化操作。理论上来说,大多数系统都是可以被暴力破解的,只要攻击者有足够强大的计算能力和时间,所以断定一个系统是否存在暴力破解漏洞,其条件也不是绝对的。
Web安全-一句话木马
热门推荐
道阻且长,行则将至。
05-08 32万+
在很多的渗透过程中,渗透人员会上传一句话木马到目标web服务目录继而提权获取系统权限,不论asp、php、jsp、aspx都是如此,那么一句话木马到底是什么呢?
中科院张玉清—网络攻击防御ppt课件:第5章欺骗攻击防御技术
06-11
本章重点阐述了欺骗攻击定义、原理和常见攻击方法,并介绍了针对这些攻击防御措施。 首先,在5.1概述中,提到计算机网络中交流的两个基本前提:认证(Authentication)和信任(Trust)。认证是计算机相互识别的...
网络安全基础技术扫盲篇 — 常见web漏洞之XSS跨站脚本攻击
2401_84301853的博客
04-27 851
知识宝库在此藏,一键关注获宝藏首先我们了解一下原理,用一句话概括就是。在Web应用中,前端代码主要包括HTML、CSS和JavaScript。:HTML 用于描述网页的结构和内容,包括标签、元素、属性等。前端骨架(有很大关系,但不是该漏洞的利用核心)。:CSS用于定义网页的样式和布局。美化作用(和渗透关系不大):JavaScript是一种客户端脚本语言,用于实现动态效果和与用户的交互。恶意的JavaScript代码可以直接在用户的浏览器中执行,导致XSS攻击的发生。
Web安全常见攻击及防护
Web安全指的是保护网络应用程序和其用户免受各种安全威胁和攻击的一系列措施。这些安全威胁包括但不限于跨站脚本(XSS)攻击、SQL注入攻击、CSRF(跨站请求伪造)攻击、点击劫持和文件上传漏洞等。 **1.2 Web安全...
[网络安全提高篇] 一一.DataCon Coremail邮件安全竞赛之钓鱼邮件识别及分类
杨秀璋的专栏
10-26 2万+
这是作者2020年参加清华大学、Coremail、奇安信DataCon举办的比赛,主要是关于钓鱼和异常邮件识别研究。非常感谢举办方让我们学到了新知识,DataCon也是我比较喜欢和推荐的大数据安全比赛,这篇文章2020年10月就进了我的草稿箱,但由于小珞珞刚出生,所以今天才发表,希望对您有所帮助!感恩同行,不负青春。
WEB漏洞分类与定义指南
Macro2的博客
05-19 1752
WEB漏洞分类与定义指南 web vulnerability classification and definition guideline 前 言 本标准按照 本标准按照 GB/T1.1GB/T1.1GB/T1.1GB/T1.1 GB/T1.1 -2009 给出的规则起草 给出的规则起草 给出的规则起草 。 随着电信网和互联的发展,将不断补充完善安全防护体系相关标准。 随着电信网和互联的发展,将不断补充完善安全防护体系相关标准。 随着电信网和互联的发展,将不断补充完善安全防护体系相关标准。 随着电信网和.
网络安全详解
weidl001的博客
09-21 1525
网络安全(Cybersecurity)是指保护网络系统、设备、程序及数据免受攻击、损坏或未授权访问的实践。其核心目标是确保信息的机密性、完整性和可用性。机密性(Confidentiality):确保信息仅被授权的人员访问。完整性(Integrity):保护信息不被未授权的修改或破坏。可用性(Availability):确保信息和资源在需要时可被访问和使用。
国产操作系统(统信UOS)网络安全等级保护基础安全加固
2401_84434570的博客
09-26 883
统一操作系统UOS是由多家企业共同打造的中文国产操作系统。一、设置口令复杂度策略和有效期首先安装libpam-pwquality依赖包口令复杂度策略通过libpam-pwquality依赖包进行设置依赖包的安装命令:sudo apt-get install libpam-pwquality。依赖包的查看方式执行命令:dpkg -l libpam-pwquality。执行命令:vim etc/pam.d/common-passwd。
网络安全全方略
AI逍遥子
09-25 1308
网络安全全方略是一个系统化、全面化的过程,涉及策略制定、技术实施、管理流程、技术维护和文化建设等多个方面。通过构建一个全方位、多层次的网络安全防护体系,可以有效保护网络系统、数据和服务免受各种威胁,保业务的连续性和数据的完整性。
19、网络安全合规复盘
weixin_43263566的博客
09-26 180
信息安全工程师(24)网络安全体系建设原则与安全策略
最新发布
m0_73399576的博客
09-28 846
信息安全工程师——网络安全体系建设原则与安全策略篇
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值