必須知道的10種Web攻擊類型
當(dāng)前位置:點(diǎn)晴教程→知識(shí)管理交流
→『 技術(shù)文檔交流 』
所謂SQL注入攻擊,就是輸入域或頁(yè)面請(qǐng)求的查詢字符串,欺騙服務(wù)器執(zhí)行惡意的SQL命令。 SQL注入是比較常見(jiàn)的網(wǎng)絡(luò)攻擊方式之一,它不是利用操作系統(tǒng)的BUG來(lái)實(shí)現(xiàn)攻擊,而是針對(duì)程序員編寫時(shí)的疏忽,通過(guò)SQL語(yǔ)句,實(shí)現(xiàn)無(wú)賬號(hào)登錄,甚至篡改數(shù)據(jù)庫(kù)。 XSS :Cross Site scripting,為不和層疊樣式表(Cascading Style Sheets, CSS)的縮寫混淆,故將跨站腳本攻擊縮寫為XSS。惡意攻擊者往Web頁(yè)面里插入惡意script代碼,當(dāng)用戶瀏覽該頁(yè)之時(shí),嵌入其中Web里面的script代碼會(huì)被執(zhí)行,從而達(dá)到惡意攻擊用戶的目的。在一開始的時(shí)候,這種攻擊的演示案例是跨域的,所以叫"跨站腳本"。 文件上傳漏洞是指由于程序員在對(duì)用戶文件上傳部分的控制不足或者處理缺陷,而導(dǎo)致的用戶可以越過(guò)其本身權(quán)限向服務(wù)器上上傳可執(zhí)行的動(dòng)態(tài)腳本文件。這里上傳的文件可以是木馬,病毒,惡意腳本或者WebShell等。“文件上傳”本身沒(méi)有問(wèn)題,有問(wèn)題的是文件上傳后,服務(wù)器怎么處理、解釋文件。如果服務(wù)器的處理邏輯做的不夠安全,則會(huì)導(dǎo)致嚴(yán)重的后果。 分布式拒絕服務(wù)(DDoS:Distributed Denial of Service)攻擊指借助于客戶/服務(wù)器技術(shù),將多個(gè)計(jì)算機(jī)聯(lián)合起來(lái)作為攻擊平臺(tái),對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DDoS攻擊,從而成倍地提高拒絕服務(wù)攻擊的威力。 通常,攻擊者使用一個(gè)偷竊帳號(hào)將DDoS主控程序安裝在一個(gè)計(jì)算機(jī)上,在一個(gè)設(shè)定的時(shí)間主控程序?qū)⑴c大量代理程序通訊,代理程序已經(jīng)被安裝在網(wǎng)絡(luò)上的許多計(jì)算機(jī)上。代理程序收到指令時(shí)就發(fā)動(dòng)攻擊。利用客戶/服務(wù)器技術(shù),主控程序能在幾秒鐘內(nèi)激活成百上千次代理程序的運(yùn)行。 攻擊者控制某些主機(jī)不停地發(fā)大量數(shù)據(jù)包給對(duì)方服務(wù)器造成服務(wù)器資源耗盡,一直到宕機(jī)崩潰。 “暴力破解”是一攻擊具手段,在web攻擊中,一般會(huì)使用這種手段對(duì)應(yīng)用系統(tǒng)的認(rèn)證信息進(jìn)行獲取。其過(guò)程就是使用大量的認(rèn)證信息在認(rèn)證接口進(jìn)行嘗試登錄,直到得到正確的結(jié)果。為了提高效率,暴力破解一般會(huì)使用帶有字典的工具來(lái)進(jìn)行自動(dòng)化操作。 DNS查詢攻擊(DNS Query Flood)是向被攻擊的服務(wù)器發(fā)送海量的隨機(jī)生成的域名解析請(qǐng)求,大部分根本就不存在,并且通過(guò)偽造端口和客戶端IP,防止查詢請(qǐng)求被ACL過(guò)濾。 被攻擊的DNS服務(wù)器在接收到域名解析請(qǐng)求后,首先會(huì)在服務(wù)器上查找是否有對(duì)應(yīng)的緩存,當(dāng)沒(méi)有緩存并且該域名無(wú)法直接由該DNS服務(wù)器進(jìn)行解析的時(shí)候,DNS服務(wù)器會(huì)向其上層DNS服務(wù)器遞歸查詢域名信息,直到全球互聯(lián)網(wǎng)的13臺(tái)根DNS服務(wù)器。 CSRF(Cross-site request forgery)跨站請(qǐng)求偽造,也被稱為“One Click Attack”或者Session Riding,通常縮寫為CSRF或者XSRF,是一種對(duì)網(wǎng)站的惡意利用。盡管聽起來(lái)像跨站腳本(XSS),但它與XSS非常不同,XSS利用站點(diǎn)內(nèi)的信任用戶,而CSRF則通過(guò)偽裝來(lái)自受信任用戶的請(qǐng)求來(lái)利用受信任的網(wǎng)站。 與XSS攻擊相比,CSRF攻擊往往不大流行(因此對(duì)其進(jìn)行防范的資源也相當(dāng)稀少)和難以防范,所以被認(rèn)為比XSS更具危險(xiǎn)性。 遠(yuǎn)程系統(tǒng)命令執(zhí)行(簡(jiǎn)稱命令注入)是一種注入漏洞。攻擊者構(gòu)造payloads讓受害者操作系統(tǒng)執(zhí)行該命令。當(dāng)Web應(yīng)用程序代碼包含操作系統(tǒng)調(diào)用并且調(diào)用中使用了用戶輸入時(shí),才可能進(jìn)行OS命令注入攻擊。這時(shí)候,用戶提交的系統(tǒng)命令會(huì)直接在服務(wù)器中執(zhí)行,并返回。命令注入漏洞可能會(huì)出現(xiàn)在所有讓你調(diào)用系統(tǒng)外殼命令的語(yǔ)言,如c,python,php等。 由于 Web 服務(wù)器或應(yīng)用程序沒(méi)有正確處理一些特殊請(qǐng)求,泄露 Web 服務(wù)器的一些敏感信息,如用戶名、密碼、源代碼、服務(wù)器信息、配置信息等。 該文章在 2023/10/30 9:46:58 編輯過(guò) |
關(guān)鍵字查詢
相關(guān)文章
正在查詢... 
|
400 186 1886
