<![CDATA[<strike id="xz3nj"><ins id="xz3nj"></ins></strike>]]>
| | |
|
| |
| |
|
|
<![CDATA[<sup id="xz3nj"><tt id="xz3nj"></tt></sup>]]>
| | |
| |
web攻擊類型有多少種
- SQL 注入:Web 應(yīng)用未對用戶提交的數(shù)據(jù)做過濾或者轉(zhuǎn)義,導(dǎo)致后端數(shù)據(jù)庫服務(wù)器執(zhí)行了黑客提交的 sql 語句。黑客利用 sql 注入攻擊可進行拖庫、植入 webshell,進而入侵服務(wù)器。
- XSS 跨站:Web 應(yīng)用未對用戶提交的數(shù)據(jù)做過濾或者轉(zhuǎn)義,導(dǎo)致黑客提交的 javascript 代碼被瀏覽器執(zhí)行。黑客利用 xss 跨站攻擊,可以構(gòu)造惡意蠕蟲、劫持網(wǎng)站 cookie、獲取鍵盤記錄、植入惡意挖礦 js 代碼。
- 命令注入:Web 應(yīng)用未對用戶提交的數(shù)據(jù)做過濾或者轉(zhuǎn)義,導(dǎo)致服務(wù)器端執(zhí)行了黑客提交的命令。黑客利用登入注入攻擊,可以對服務(wù)器植入后門、直接反彈 shell 入侵服務(wù)器。
-
網(wǎng)站安全提升
- CSRF:Web 應(yīng)用對某些請求未對來源做驗證,導(dǎo)致登錄用戶的瀏覽器執(zhí)行黑客偽造的 HTTP 請求,并且應(yīng)用程序認為是受害者發(fā)起的合法請求的請求。黑客利用 CSRF 攻擊可以執(zhí)行一些越權(quán)操作如添加后臺管理員、刪除文章等。
- 目錄遍歷:Web 應(yīng)用對相關(guān)目錄未做訪問權(quán)限控制,并且未對用戶提交的數(shù)據(jù)做過濾或者轉(zhuǎn)義,導(dǎo)致服務(wù)器敏感文件泄露。黑客利用目錄遍歷攻擊,可獲取服務(wù)器的配置文件,進而入侵服務(wù)器。
- 木馬后門:Web 應(yīng)用未對用戶提交的數(shù)據(jù)做過濾或者轉(zhuǎn)義,導(dǎo)致木馬代碼執(zhí)行。黑客利用木馬后門攻擊,可以入侵服務(wù)器。
- 緩沖區(qū)溢出:http 協(xié)議未對請求頭部做字節(jié)大小限制,導(dǎo)致可以提交大量數(shù)據(jù)因此可能導(dǎo)致惡意代碼被執(zhí)行。
- 文件上傳:Web 應(yīng)用未對文件名后綴,上傳數(shù)據(jù)包是否合規(guī),導(dǎo)致惡意文件上傳。文件上傳攻擊,將包含惡意代碼的文件上傳到服務(wù)器,最終導(dǎo)致服務(wù)器被入侵。
- 掃描器掃描:黑客利用漏洞掃描器掃描網(wǎng)站,可以發(fā)現(xiàn) web 應(yīng)用存在的漏洞,最終利用相關(guān)漏洞攻擊網(wǎng)站。
- 高級爬蟲:爬蟲自動化程度較高可以識別 setcookie 等簡單的爬蟲防護方式。
- 常規(guī)爬蟲:爬蟲自動化程度較低,可以利用一些簡單的防護算法識別,如 setcookie 的方式。
- 敏感信息泄露:web 應(yīng)用過濾用戶提交的數(shù)據(jù)導(dǎo)致應(yīng)用程序拋出異常,泄露敏感信息,黑客可能利用泄露的敏感信息進一步攻擊網(wǎng)站。
- 服務(wù)器錯誤:Web 應(yīng)用配置錯誤,導(dǎo)致服務(wù)器報錯從而泄露敏感信息,黑客可能利用泄露的敏感信息進一步攻擊網(wǎng)站。
- 非法文件下載:Web 應(yīng)用未對敏感文件 (密碼、配置、備份、數(shù)據(jù)庫等) 訪問做權(quán)限控制,導(dǎo)致敏感文件被下載,黑客利用下載的敏感文件可以進一步攻擊網(wǎng)站。
- 第三方組件漏洞:Web 應(yīng)用使用了存在漏洞的第三方組件,導(dǎo)致網(wǎng)站被攻擊。
- XPATH 注入:Web 應(yīng)用在用 xpath 解析 xml 時未對用戶提交的數(shù)據(jù)做過濾,導(dǎo)致惡意構(gòu)造的語句被 xpath 執(zhí)行。黑客利用 xpath 注入攻擊,可以獲取 xml 文檔的重要信息。
- XML 注入:Web 應(yīng)用程序使用較早的或配置不佳的 XML 處理器解析了 XML 文檔中的外部實體引用,導(dǎo)致服務(wù)器解析外部引入的 xml 實體。黑客利用 xml 注入攻擊可以獲取服務(wù)器敏感文件、端口掃描攻擊、dos 攻擊。
- LDAP 注入防護:Web 應(yīng)用使用 ldap 協(xié)議訪問目錄,并且未對用戶提交的數(shù)據(jù)做過濾或轉(zhuǎn)義,導(dǎo)致服務(wù)端執(zhí)行了惡意 ldap 語句,黑客利用 ldap 注入可獲取用戶信息、提升權(quán)限。
- SSI 注入:Web 服務(wù)器配置了 ssi,并且 html 中嵌入用戶輸入,導(dǎo)致服務(wù)器執(zhí)行惡意的 ssi 命令。黑客利用 ssi 注入可以執(zhí)行系統(tǒng)命令。
- Webshell 黑客連接嘗試去連接網(wǎng)站可能存在的 webshell,黑客可能通過中國菜刀等工具去連接 webshell 入侵服務(wù)器。
- 暴力破解:黑客在短時間內(nèi)大量請求某一 url 嘗試猜解網(wǎng)站用戶名、密碼等信息,黑客利用暴力破解攻擊,猜解網(wǎng)站的用戶名、密碼,可以進一步攻擊網(wǎng)站。
- 非法請求方法:Web 應(yīng)用服務(wù)器配置允許 put 請求方法請求,黑客可以構(gòu)造非法請求方式上傳惡意文件入侵服務(wù)器。
- 撞庫:Web 應(yīng)用對用戶登入功能沒做驗證碼驗證,黑客可以借助工具結(jié)合社工庫去猜網(wǎng)站用戶名及密碼。
主站蜘蛛池模板:
沁水县|
搜索|
依安县|
绥中县|
隆德县|
闵行区|
怀化市|
故城县|
徐州市|
陆丰市|
晋宁县|
龙陵县|
高密市|
靖宇县|
安溪县|
土默特右旗|
大埔县|
奉贤区|
库尔勒市|
兴义市|
陈巴尔虎旗|
晋中市|
浙江省|
贡嘎县|
东乡|
旬邑县|
神池县|
东乌珠穆沁旗|
旌德县|
新蔡县|
湖州市|
平阴县|
桦南县|
砀山县|
乳源|
阳江市|
哈尔滨市|
庆城县|
牙克石市|
武胜县|
龙岩市|
