web攻击的原理(Web的攻击技术)
Web 的攻击技术
针对 Web 的攻击技术简单的 HTTP 协议本身并不存在安全性问题,因此协议本身几乎不会成为攻击的对象在运作的 Web 应用背后却隐藏着各种容易被攻击者滥 用的安全漏洞的 Bug在 Web 应用中,从浏览器那接收到的 HTTP 请求的全部内容,都可以在客户端自由地变更、篡改在 HTTP 请求报文内加载攻击代码,就能发起对 Web 应用的攻击主动攻击(active attack)是指攻击者通过直接访问 Web 应用,把攻击代码传入的攻击模式被动攻击(passive attack)是指利用圈套策略执行攻击代码的攻击模式。因输出值转义不完全引发的安全漏洞跨站脚本攻击(Cross-Site Scripting,XSS)是指通过存在安全漏洞的 Web 网站注册用户的浏览器内运行非 法的 HTML 标签或 JavaScript 进行的一种攻击利用虚假输入表单骗取用户个人信息。利用脚本窃取用户的 Cookie 值, 被害者在不知情的情况下, 帮助攻击者发送恶意请求。显示伪造的文章或图片跨站脚本攻击案例在动态生成 HTML 处发生对用户 Cookie 的窃取攻击SQL 注入(SQL Injection)是指针对 Web 应用使用的数据库,通过运行非法的 SQL 而产生的攻击。非法查看或篡改数据库内的数据规避认证执行和数据库服务器业务关联的程序等OS 命令注入攻击(OS Command Injection)是指通过 Web 应用,执行非法的操作系统命令达到攻击的目 的HTTP 首部注入攻击(HTTP Header Injection)是指攻击者通过在响应首部字段内插入换行,添加任意响应首部或主体的一种攻击。设置任何 Cookie 信息重定向至任意 URL显示任意的主体( HTTP 响应截断攻击)HTTP 首部注入攻击案例邮件首部注入(Mail Header Injection)是指 Web 应用中的邮件发送功能,攻击者通过向邮件首部 To 或 Subject 内任意添加非法内容发起的攻击目录遍历(Directory Traversal)攻击是指对本无意公开的文件目录,通过非法截断其目录路径后,达成访问 目的的一种攻击远程文件包含漏洞(Remote File Inclusion)是指当部分脚本内容需要从其他文件读入时,攻击者利用指定外 部服务器的 URL充当依赖文件,让脚本读取之后,就可运行任意脚本的一种攻击
8
,免责声明:本文仅代表文章作者的个人观点,与本站无关。其原创性、真实性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容文字的真实性、完整性和原创性本站不作任何保证或承诺,请读者仅作参考,并自行核实相关内容。文章投诉邮箱:anhduc.ph@yahoo.com