Web 的攻击技术

Web 的攻击技术

针对 Web 的攻击技术

简单的 HTTP 协议本身并不存在安全性问题,因此协议本身几乎不会成为攻击的对象

在运作的 Web 应用背后却隐藏着各种容易被攻击者滥 用的安全漏洞的 Bug

在 Web 应用中,从浏览器那接收到的 HTTP 请求的全部内容,都可以在客户端自由地变更、篡改

在 HTTP 请求报文内加载攻击代码,就能发起对 Web 应用的攻击

主动攻击(active attack)是指攻击者通过直接访问 Web 应用,把攻击代码传入的攻击模式

被动攻击(passive attack)是指利用圈套策略执行攻击代码的攻击模式。

因输出值转义不完全引发的安全漏洞

跨站脚本攻击(Cross-Site Scripting,XSS)是指通过存在安全漏洞的 Web 网站注册用户的浏览器内运行非 法的 HTML 标签或 JavaScript 进行的一种攻击

利用虚假输入表单骗取用户个人信息。

利用脚本窃取用户的 Cookie 值, 被害者在不知情的情况下, 帮助攻击者发送恶意请求。

显示伪造的文章或图片

跨站脚本攻击案例

在动态生成 HTML 处发生

对用户 Cookie 的窃取攻击

SQL 注入(SQL Injection)是指针对 Web 应用使用的数据库,通过运行非法的 SQL 而产生的攻击。

非法查看或篡改数据库内的数据

规避认证

执行和数据库服务器业务关联的程序等

OS 命令注入攻击(OS Command Injection)是指通过 Web 应用,执行非法的操作系统命令达到攻击的目 的

HTTP 首部注入攻击(HTTP Header Injection)是指攻击者通过在响应首部字段内插入换行,添加任意响应首部或主体的一种攻击。

设置任何 Cookie 信息

重定向至任意 URL

显示任意的主体( HTTP 响应截断攻击)

HTTP 首部注入攻击案例

邮件首部注入(Mail Header Injection)是指 Web 应用中的邮件发送功能,攻击者通过向邮件首部 To 或 Subject 内任意添加非法内容发起的攻击

目录遍历(Directory Traversal)攻击是指对本无意公开的文件目录,通过非法截断其目录路径后,达成访问 目的的一种攻击

远程文件包含漏洞(Remote File Inclusion)是指当部分脚本内容需要从其他文件读入时,攻击者利用指定外 部服务器的 URL充当依赖文件,让脚本读取之后,就可运行任意脚本的一种攻击

因设置或设计上的缺陷引发的安全漏洞

强制浏览

强制浏览(Forced Browsing)安全漏洞是指,从安置在 Web 服务器的公开目录下的文件中,浏览那些原本 非自愿公开的文件

泄露顾客的个人信息等重要情报

泄露原本需要具有访问权限的用户才可查阅的信息内容

泄露未外连到外界的文件

不正确的错误消息处理

Web 应用不必在用户的浏览画面上展现详细的错误消息。对攻击者来说,详细的错误消息有可能给他们下一 次攻击以提示

开放重定向

开放重定向(Open Redirect)是一种对指定的任意 URL 作重定向跳转的功能。

因会话管理疏忽引发的安全漏洞

会话劫持(Session Hijack)是指攻击者通过某种手段拿到了用户的会话 ID,并非法使用此会话 ID 伪装成用 户,达到攻击的目的

对以窃取目标会话 ID 为主动攻击手段的会话劫持而言,会话固定攻击(Session Fixation)攻击会强制用户 使用攻击者指定的会话 ID,属于被动攻击。

跨站点请求伪造(Cross-Site Request Forgeries,CSRF)攻击是指攻击者通过设置好的陷阱,强制对已完 成认证的用户进行非预期的个人信息或设定信息等某些状态更新,属于被动攻击。

其他安全漏洞

密码破解攻击(Password Cracking)即算出密码,突破认证

通过网络的密码试错

穷举法

字典攻击

对已加密密码的破解(指攻击者入侵系统, 已获得加密或散列处理的密码数据的情况)

点击劫持(Clickjacking)是指利用透明的按钮或链接做成陷阱,覆盖在 Web 页面之上。然后诱使用户在不 知情的情况下,点击那个链接访问内容的一种攻击手段。这种行为又称为界面伪装(UI Redressing)。

DoS 攻击(Denial of Service attack)是一种让运行中的服务呈停止状态的攻击

后门程序(Backdoor)是指开发设置的隐藏入口,可不按正常步骤使用受限功能