1、SQL注入攻击
SQL注入攻击是黑客对数据库进行攻击的常用手段之一。随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。
2、XSS攻击
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。
3、CSRF攻击
CSRF即Cross-site request forgery, 跨站请求伪造。是指黑客引诱用户打开黑客的网站,在黑客的网站中,利用用户的登录状态发起跨站请求。
你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全
5、暴力破解
顾名思义,就是一个一个猜账号密码,直到成功登陆您的账户。通过计算机循环执行脚本达到破解账户的目的。
6、文件上传漏洞
文件上传漏洞是web安全中经常用到的一种漏洞形式。是对数据与代码分离原则的一种攻击。上传漏洞顾名思义,就是攻击者上传了一个可执行文件如木马,病毒,恶意脚本,WebShell等到服务器执行,并最终获得网站控制权限的高危漏洞。(图片来自网络)
上传漏洞与SQL注入或 XSS相比 , 其风险更大 , 如果 Web应用程序存在上传漏洞 , 攻击者上传的文件是Web脚本语言,服务器的Web容器解释并执行了用户上传的脚本,导致代码执行。如果上传的文件是Flash的策略文件crossdomain.xml,黑客用以控制Flash在该域下的行为。如果上传的文件是病毒、木马文件,黑客用以诱骗用户或者管理员下载执行。如果上传的文件是钓鱼图片或为包含了脚本的图片,在某些版本的浏览器中会被作为脚本执行,被用于钓鱼和欺诈。甚至攻击者可以直接上传一个webshell到服务器上 完全控制系统或致使系统瘫痪。
假设web服务器站点的web应用程序的运行环境为php,并且存在一个文件上传页面,页面要求上传一个jpg图片格式的文件,这个时候我们新建一个php一句话木马
<?php @eval($_GET[‘cmd’]);?>
然后想方设法将该木马上传到服务器上供服务器解析运行,通过中国菜刀等软件进行getshell,获取系统运行权限。
一般来说文件上传过程中检测部分由客户端javascript检测、服务端Content-Type类型检测、服务端path参数检测、服务端文件扩展名检测、服务端内容检测组成。但这些检测并不完善,且都有绕过方法。
7、命令执行漏洞
这个比较好理解,就是服务器端有一段代码能够直接执行系统命令的,当然这段代码可能会通过一系列的操作变成一个漏洞存在且影响系统安全。
例如一段php代码:
<?php
$a = $_GET[‘a’];
$b = $_GET[‘b’];
eval($a.$b);
?>
虽然开发的时候没有人会这么来书写代码,但是为了直观的表现出命令执行漏洞的原理,就通过一段简单的代码展示出来了。
如果我们GET了一段数据,例如:ifconfig%20/all(这里的20%经过urldecode后会变成空格)
那么系统就会执行一段ifconfig /all的命令,输出目标系统的网络信息。
好了,今天的分享就到这里!
如果你也对网络安全&黑客感兴趣,这里给大家分享一份0基础入门网安学习资料。😝有需要的小伙伴,可以点击下方链接👇👇或者V扫描文末二维码免费领取🆓
3284
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
