必須知道的10種Web攻擊類型
當前位置:點晴教程→知識管理交流
→『 技術文檔交流 』
所謂SQL注入攻擊,就是輸入域或頁面請求的查詢字符串,欺騙服務器執行惡意的SQL命令。 SQL注入是比較常見的網絡攻擊方式之一,它不是利用操作系統的BUG來實現攻擊,而是針對程序員編寫時的疏忽,通過SQL語句,實現無賬號登錄,甚至篡改數據庫。 XSS :Cross Site scripting,為不和層疊樣式表(Cascading Style Sheets, CSS)的縮寫混淆,故將跨站腳本攻擊縮寫為XSS。惡意攻擊者往Web頁面里插入惡意script代碼,當用戶瀏覽該頁之時,嵌入其中Web里面的script代碼會被執行,從而達到惡意攻擊用戶的目的。在一開始的時候,這種攻擊的演示案例是跨域的,所以叫"跨站腳本"。 文件上傳漏洞是指由于程序員在對用戶文件上傳部分的控制不足或者處理缺陷,而導致的用戶可以越過其本身權限向服務器上上傳可執行的動態腳本文件。這里上傳的文件可以是木馬,病毒,惡意腳本或者WebShell等。“文件上傳”本身沒有問題,有問題的是文件上傳后,服務器怎么處理、解釋文件。如果服務器的處理邏輯做的不夠安全,則會導致嚴重的后果。 分布式拒絕服務(DDoS:Distributed Denial of Service)攻擊指借助于客戶/服務器技術,將多個計算機聯合起來作為攻擊平臺,對一個或多個目標發動DDoS攻擊,從而成倍地提高拒絕服務攻擊的威力。 通常,攻擊者使用一個偷竊帳號將DDoS主控程序安裝在一個計算機上,在一個設定的時間主控程序將與大量代理程序通訊,代理程序已經被安裝在網絡上的許多計算機上。代理程序收到指令時就發動攻擊。利用客戶/服務器技術,主控程序能在幾秒鐘內激活成百上千次代理程序的運行。 攻擊者控制某些主機不停地發大量數據包給對方服務器造成服務器資源耗盡,一直到宕機崩潰。 “暴力破解”是一攻擊具手段,在web攻擊中,一般會使用這種手段對應用系統的認證信息進行獲取。其過程就是使用大量的認證信息在認證接口進行嘗試登錄,直到得到正確的結果。為了提高效率,暴力破解一般會使用帶有字典的工具來進行自動化操作。 DNS查詢攻擊(DNS Query Flood)是向被攻擊的服務器發送海量的隨機生成的域名解析請求,大部分根本就不存在,并且通過偽造端口和客戶端IP,防止查詢請求被ACL過濾。 被攻擊的DNS服務器在接收到域名解析請求后,首先會在服務器上查找是否有對應的緩存,當沒有緩存并且該域名無法直接由該DNS服務器進行解析的時候,DNS服務器會向其上層DNS服務器遞歸查詢域名信息,直到全球互聯網的13臺根DNS服務器。 CSRF(Cross-site request forgery)跨站請求偽造,也被稱為“One Click Attack”或者Session Riding,通常縮寫為CSRF或者XSRF,是一種對網站的惡意利用。盡管聽起來像跨站腳本(XSS),但它與XSS非常不同,XSS利用站點內的信任用戶,而CSRF則通過偽裝來自受信任用戶的請求來利用受信任的網站。 與XSS攻擊相比,CSRF攻擊往往不大流行(因此對其進行防范的資源也相當稀少)和難以防范,所以被認為比XSS更具危險性。 遠程系統命令執行(簡稱命令注入)是一種注入漏洞。攻擊者構造payloads讓受害者操作系統執行該命令。當Web應用程序代碼包含操作系統調用并且調用中使用了用戶輸入時,才可能進行OS命令注入攻擊。這時候,用戶提交的系統命令會直接在服務器中執行,并返回。命令注入漏洞可能會出現在所有讓你調用系統外殼命令的語言,如c,python,php等。 由于 Web 服務器或應用程序沒有正確處理一些特殊請求,泄露 Web 服務器的一些敏感信息,如用戶名、密碼、源代碼、服務器信息、配置信息等。 該文章在 2023/10/30 9:46:58 編輯過 |
關鍵字查詢
相關文章
正在查詢... 
|
400 186 1886
