http不具備必要的安全功能,就是乙個通用的單純協議機制,比如遠端登入時會用到的ssh協議來說,ssh具備協議級別的認證及回話管理等功能,http協議則沒有。另外在架設ssh服務方面,任何人都可以輕易地建立安全等級高的服務,而http即使已架設好伺服器,但若想提供伺服器基礎上的web應用,很多情況下都需要重新開發。因此,開發者需要自行設計認證及回話管理功能來滿足web應用的安全,然而自行設計就意味著會出現各種形形色色的實現。結果,安全等級並不完備,可仍在運作的web應用背後卻隱藏著各種容易被攻擊者濫用的安全漏洞的bug。
web應用的攻擊模式有兩種,主動攻擊和被動攻擊。以伺服器為目標的主動攻擊,是指攻擊者通過直接訪問web應用,把攻擊**傳入的攻擊模式。由於該模式是直接針對伺服器上的資源進行攻擊,因此攻擊者需要能夠訪問到那些資源。主動攻擊具有代表性的攻擊是sql注入攻擊和os命令注入攻擊。以伺服器為目標的被動攻擊,是指利用圈套策略執行攻擊**的攻擊模式。在被動攻擊過程中,攻擊者不直接對目標web應用訪問發起攻擊。
一、因輸入值轉義不完全引發的安全漏洞
1.跨站指令碼攻擊
2.sql注入攻擊
3.os命令注入攻擊
4.http首部注入攻擊
5.郵件首部注入攻擊
6.目錄遍歷攻擊
7.遠端檔案包含漏洞
二、因設定或設計上的缺陷引發的安全漏洞
1.強制瀏覽
2.不正確的錯誤訊息處理
3.開放重定向
三、因會話管理疏忽引發的安全漏洞
1.回話劫持
2.回話固定攻擊
3.跨站點請求偽造
四、其它安全漏洞
1.密碼破解
2.點選劫持
3.dos攻擊
4.後門程式
筆記來自《**http》
常見Web攻擊
1.sql注入的危害 2.例項 mysqldb 通過在使用者名稱裡面構建乙個sql語句,達到了我們在執行sql語句的時候永遠為真的情況 username or 1 1 username request.post.get username password request.post.get passw...
web攻擊模式
主動攻擊 攻擊者直接訪問web應用,把攻擊 傳入的攻擊模式.代表的有sql注入攻擊和os命令注入攻擊 被動攻擊 被動攻擊 passive attack 是指利用圈套策略執行攻擊 的攻擊模式。在被動攻擊過程中,攻擊者不直接對目標 web 應用訪問發起攻擊。被動攻擊通常的攻擊模式如下所示。步驟 1 攻擊...
web攻擊 xss攻擊初體驗
昨天,在某個論壇看到乙個帖子,某個給論壇進行了攻擊。瀏覽某個帖子時就會彈出 只是來測試論壇有沒有做攻擊防護 的調皮字樣,隨後該問題被修復,帖子被刪。我勾起了我的好奇,我查了有關知識。簡單來說就是跨站指令碼攻擊,在某個輸入框或者url新增指令碼 儲存到伺服器上。比如論壇,每當被攻擊的帖子被瀏覽時,指令...