单位组织的web应用漏洞挖掘技术的讲座,刚好之前工作接触过SQL注入和文件处理漏洞攻击的相关内容,所以对这方面稍微有点儿了解,也想通过讲座学习一下别人的想法和分享的知识。简单记录一下讲座内容。
web发展趋势
1、web1.0时代:门户网站时代,1989年-2000年,11年的时间
2、web2.0时代:用户创造时代,从2001年开始算起。前端<-->后端<-->数据库
漏洞攻击的方法原理
1、XSS跨站漏洞攻击:典型的利用就是蠕虫,其中最有名的是samy蠕虫,蠕虫作者samy利用蠕虫感染,24小时内在myspace增长了100万的粉丝。
2、CSRF漏洞攻击(Cross Site Request Forgery):利用浏览器的cookie,当用户访问某正常网站时点击了危险攻击的链接,cookie内的用户名、密码等信息就会被读取。
3、点击劫持漏洞攻击:也被称为UI-覆盖攻击。是一种视觉欺骗手段,看到的页面不一定就是真实的页面,这也涉及到了网站界面安全的问题。
4、SQL注入漏洞攻击:该攻击的对象是web服务器端,目的有多种:可以用来绕过身份验证、脱裤、执行系统命令、创建木马程序等。SQL注入漏洞攻击也是被研究较多的攻击类型,属于数据被污染的污点型漏洞。预编译可以预防很多种情况的SQL注入漏洞攻击。
5、文件处理漏洞攻击:这也是非常常见的一种漏洞攻击形式,利用网站的上传通道通过修改文件类型、上传路径等上传文件进行攻击,下载的路径也可能会被利用。
6、执行命令漏洞攻击:可以浏览文件系统
7、其他漏洞攻击:密码攻击(暴力破解、猜测、密码找回、撞库等,各种攻击方式的使用也与网站是否限制错误登录次数有关)、会话攻击、应用层拒绝服务攻击等等。
web应用漏洞挖掘技术
1、模糊测试:通过输入非预期输入观察输出来确定是否有漏洞
2、数据流分析:沿程序执行的路径进行分析
3、污点分析(热点):分析用户数据能否影响敏感点函数参数
4、符号执行基本原理:变量值用符号代替,模拟程序执行
总结
以上,是我凭自己在会场的记录总结的讲座内容要点,日后想起来的时候也可以回来找找看看。做一名杂食程序媛~\(^o^)/