目前常用的針對應用漏洞的攻擊已經多達幾百種,最為常見的攻擊為下表列出的十種。
十大攻擊手段
應用威脅
負面影響
後果跨**指令碼攻擊
標識盜竊,敏感資料丟失…
黑客可以模擬合法使用者,控制其帳戶。
注入攻擊
通過構造查詢對資料庫、ldap 和其他系統進行非法查詢。
黑客可以訪問後端資料庫資訊,修改、盜竊。
惡意檔案執行
在伺服器上執行 shell 命令 execute,獲取控制權。
被修改的站點將所有交易傳送給黑客
不安全物件引用
黑客訪問敏感檔案和資源
web 應用返回敏感檔案內容
偽造跨站點請求
黑客呼叫 blind 動作,模擬合法使用者
黑客發起 blind 請求,要求進行轉帳
資訊瀉露和不正確的錯誤處理
黑客得到詳細系統資訊
惡意的系統檢測可能有助於更深入的攻擊
被破壞的認證和 session 管理
session token 沒有被很好的保護
在使用者推出系統後,黑客能夠盜竊 session。
不安全的木馬儲存
過於簡單的加密技術導致黑客破解編密碼
隱秘資訊被黑客解密盜竊
不安全的通訊
敏感資訊在不安全通道中以非加密方式傳送
黑客可以通過嗅探器嗅探敏感資訊,模擬合法使用者。
url 訪問限制失效
黑客可以訪問非授權的資源連線
黑客可以強行訪問一些登陸網頁、歷史網頁。
Web常見的攻擊手段
type text name name value 當輸入的內容為 alert hello script 最終的效果為 type text name name value alert hello script 這時候就會彈出來hello。這樣的惡作劇還好,如果是獲取使用者賬號密碼的的指令碼呢,那樣的...
常見的web攻擊手段
xss 跨站指令碼攻擊 當使用者在表達輸入一段資料後,提交給服務端進行持久化。如果此使用者輸入的是一段指令碼語言,而服務端 使用者輸入的資料沒有經過轉碼 校驗等就存入了資料庫,在其他頁面需要展示此資料時,就會執行此使用者輸入的語言。簡單來說,js的強大不用我來解釋吧 對使用者輸入的資訊進行轉義,例如...
常見web攻擊手段總結
xss 就是攻擊者在 web 頁面中插入惡意指令碼,當使用者瀏覽頁面時,促使指令碼執行,從而達到攻擊目的。xss 的特點就是想盡一切辦法在目標 上執行第三方指令碼。舉個例子。原有的 有個將資料庫中的資料顯示到頁面的上功能,document.write data from server 但如果伺服器沒...