必須知道的10種Web攻擊類型
當(dāng)前位置:點晴教程→知識管理交流
→『 技術(shù)文檔交流 』
所謂SQL注入攻擊,就是輸入域或頁面請求的查詢字符串,欺騙服務(wù)器執(zhí)行惡意的SQL命令。 SQL注入是比較常見的網(wǎng)絡(luò)攻擊方式之一,它不是利用操作系統(tǒng)的BUG來實現(xiàn)攻擊,而是針對程序員編寫時的疏忽,通過SQL語句,實現(xiàn)無賬號登錄,甚至篡改數(shù)據(jù)庫。 XSS :Cross Site scripting,為不和層疊樣式表(Cascading Style Sheets, CSS)的縮寫混淆,故將跨站腳本攻擊縮寫為XSS。惡意攻擊者往Web頁面里插入惡意script代碼,當(dāng)用戶瀏覽該頁之時,嵌入其中Web里面的script代碼會被執(zhí)行,從而達(dá)到惡意攻擊用戶的目的。在一開始的時候,這種攻擊的演示案例是跨域的,所以叫"跨站腳本"。 文件上傳漏洞是指由于程序員在對用戶文件上傳部分的控制不足或者處理缺陷,而導(dǎo)致的用戶可以越過其本身權(quán)限向服務(wù)器上上傳可執(zhí)行的動態(tài)腳本文件。這里上傳的文件可以是木馬,病毒,惡意腳本或者WebShell等。“文件上傳”本身沒有問題,有問題的是文件上傳后,服務(wù)器怎么處理、解釋文件。如果服務(wù)器的處理邏輯做的不夠安全,則會導(dǎo)致嚴(yán)重的后果。 分布式拒絕服務(wù)(DDoS:Distributed Denial of Service)攻擊指借助于客戶/服務(wù)器技術(shù),將多個計算機(jī)聯(lián)合起來作為攻擊平臺,對一個或多個目標(biāo)發(fā)動DDoS攻擊,從而成倍地提高拒絕服務(wù)攻擊的威力。 通常,攻擊者使用一個偷竊帳號將DDoS主控程序安裝在一個計算機(jī)上,在一個設(shè)定的時間主控程序?qū)⑴c大量代理程序通訊,代理程序已經(jīng)被安裝在網(wǎng)絡(luò)上的許多計算機(jī)上。代理程序收到指令時就發(fā)動攻擊。利用客戶/服務(wù)器技術(shù),主控程序能在幾秒鐘內(nèi)激活成百上千次代理程序的運行。 攻擊者控制某些主機(jī)不停地發(fā)大量數(shù)據(jù)包給對方服務(wù)器造成服務(wù)器資源耗盡,一直到宕機(jī)崩潰。 “暴力破解”是一攻擊具手段,在web攻擊中,一般會使用這種手段對應(yīng)用系統(tǒng)的認(rèn)證信息進(jìn)行獲取。其過程就是使用大量的認(rèn)證信息在認(rèn)證接口進(jìn)行嘗試登錄,直到得到正確的結(jié)果。為了提高效率,暴力破解一般會使用帶有字典的工具來進(jìn)行自動化操作。 DNS查詢攻擊(DNS Query Flood)是向被攻擊的服務(wù)器發(fā)送海量的隨機(jī)生成的域名解析請求,大部分根本就不存在,并且通過偽造端口和客戶端IP,防止查詢請求被ACL過濾。 被攻擊的DNS服務(wù)器在接收到域名解析請求后,首先會在服務(wù)器上查找是否有對應(yīng)的緩存,當(dāng)沒有緩存并且該域名無法直接由該DNS服務(wù)器進(jìn)行解析的時候,DNS服務(wù)器會向其上層DNS服務(wù)器遞歸查詢域名信息,直到全球互聯(lián)網(wǎng)的13臺根DNS服務(wù)器。 CSRF(Cross-site request forgery)跨站請求偽造,也被稱為“One Click Attack”或者Session Riding,通常縮寫為CSRF或者XSRF,是一種對網(wǎng)站的惡意利用。盡管聽起來像跨站腳本(XSS),但它與XSS非常不同,XSS利用站點內(nèi)的信任用戶,而CSRF則通過偽裝來自受信任用戶的請求來利用受信任的網(wǎng)站。 與XSS攻擊相比,CSRF攻擊往往不大流行(因此對其進(jìn)行防范的資源也相當(dāng)稀少)和難以防范,所以被認(rèn)為比XSS更具危險性。 遠(yuǎn)程系統(tǒng)命令執(zhí)行(簡稱命令注入)是一種注入漏洞。攻擊者構(gòu)造payloads讓受害者操作系統(tǒng)執(zhí)行該命令。當(dāng)Web應(yīng)用程序代碼包含操作系統(tǒng)調(diào)用并且調(diào)用中使用了用戶輸入時,才可能進(jìn)行OS命令注入攻擊。這時候,用戶提交的系統(tǒng)命令會直接在服務(wù)器中執(zhí)行,并返回。命令注入漏洞可能會出現(xiàn)在所有讓你調(diào)用系統(tǒng)外殼命令的語言,如c,python,php等。 由于 Web 服務(wù)器或應(yīng)用程序沒有正確處理一些特殊請求,泄露 Web 服務(wù)器的一些敏感信息,如用戶名、密碼、源代碼、服務(wù)器信息、配置信息等。 該文章在 2023/10/30 9:46:58 編輯過 |
關(guān)鍵字查詢
相關(guān)文章
正在查詢... 
|
400 186 1886
