成人国产在线小视频_日韩寡妇人妻调教在线播放_色成人www永久在线观看_2018国产精品久久_亚洲欧美高清在线30p_亚洲少妇综合一区_黄色在线播放国产_亚洲另类技巧小说校园_国产主播xx日韩_a级毛片在线免费

資訊專欄INFORMATION COLUMN

web安全

suosuopuo / 2587人閱讀

摘要:被動攻擊攻擊者不直接對服務(wù)器發(fā)起攻擊,事先設(shè)置好雷區(qū),等待雷區(qū)被觸發(fā),具有代表性的有跨站腳本攻擊和跨站點請求偽造。因輸出值轉(zhuǎn)義不完全引起的安全漏洞跨站腳本攻擊攻,跨站腳本攻擊,又稱攻擊。

對web的攻擊可分為兩大類:

主動攻擊
該類攻擊是攻擊者直接對web服務(wù)器上的資源進(jìn)行攻擊,最具代表性的是SQL注入攻擊和OS攻擊及DDOS攻擊。

被動攻擊
攻擊者不直接對服務(wù)器發(fā)起攻擊,事先設(shè)置好雷區(qū),等待雷區(qū)被觸發(fā),具有代表性的有跨站腳本攻擊和跨站點請求偽造。

因輸出值轉(zhuǎn)義不完全引起的安全漏洞 xss 跨站腳本攻擊

Cross SiteScript,跨站腳本攻擊,又稱css攻擊。

其核心思路就是將惡意html代碼注入到目標(biāo)網(wǎng)站中(如),所以經(jīng)常發(fā)生在動態(tài)生成html的場景下。

攻擊成功后可以做的事情有很多,比如將cookie發(fā)送出去,URL跳轉(zhuǎn)等。

只要有用戶輸入的地方,數(shù)據(jù)存儲時沒有對其進(jìn)行處理,用到改數(shù)據(jù)的頁面都有可能受到XSS攻擊(對于script的攻擊方式,數(shù)據(jù)以直接拍到頁面的方式才會使攻擊生效,ajax請求到數(shù)據(jù)再通過mvvm框架渲染的方式是不會觸發(fā)腳本的執(zhí)行的。但,XSS攻擊不僅僅局限于script)

XSS的危害

利用虛假表單騙取用戶個人信息

竊取用戶cookie

拿微博舉例,如果某人發(fā)了一段包含的微博,且XSS攻擊成功,那么看到該微博的人都會受到攻擊,其cookie被發(fā)送至www.aa.com

對用戶輸入的<>""""/&等字符進(jìn)行轉(zhuǎn)碼

對關(guān)鍵cookie進(jìn)行http-only設(shè)置,這樣js就失去了訪問cookie的能力

SQL注入攻擊

在web應(yīng)用對數(shù)據(jù)庫的查詢,添加,刪除等操作環(huán)節(jié),請求參數(shù)參與SQL語句生成,對于調(diào)用SQL語句的拼接環(huán)節(jié)存在疏忽,產(chǎn)生SQL注入攻擊。

危害

非法查看無權(quán)限數(shù)據(jù)

刪除數(shù)據(jù)

舉例:todo

todo

OS命令注入攻擊

web應(yīng)用可以通過shell調(diào)用系統(tǒng)命令,因此如果在調(diào)用時存在疏忽,就有可能執(zhí)行了不被期望的OS命令。

危害 http首部注入攻擊 
%0D%0A代表HTTP報文中的換行符。比如在響應(yīng)頭中的Location:www.a.com/aa?id=999添加為Location:www.a.com/aa?id=999%0D%0ASet-Cookie: xxxx,那么就會多出一個set-cookie響應(yīng)頭。此外,連續(xù)出現(xiàn)兩次%0D%0標(biāo)志著http頭部與主體的分離,同樣可以利用這個來修改響應(yīng)主體。

指的是攻擊者通過在響應(yīng)頭部字段中插入換行,添加任意響應(yīng)首部的一種攻擊

危害

設(shè)置任意cookie(利用Set-Cookie頭)

重定向至任意url(location頭)(如果status為200但是有l(wèi)ocation會怎么樣)

話管理疏忽引起的安全漏洞

會話劫持

通過手段拿到用戶的會話id并以此id偽裝為用戶de攻擊。

危害 跨站點請求偽造CSRF(cross-site request Forgery)

指攻擊者通過事先設(shè)定好的陷阱,在用戶不知道的情況下發(fā)起對某些站點的請求,從而達(dá)到修改用戶在目標(biāo)網(wǎng)站里的數(shù)據(jù)的攻擊。
如在a.com里有個的標(biāo)簽,此時用戶訪問a站點時就向b發(fā)起了delete請求,假設(shè)該接口就是b站點的刪除帳號api,且b用戶恰恰剛訪問了b站點不久,還存有未過期的cookie,那就慘了。

危害

修改用戶在目標(biāo)站點的數(shù)據(jù)。

cookie的有效期盡量縮短

服務(wù)器判斷referer

其他安全漏洞 密碼破解

字典攻擊

事先收集好一組候選密碼一一嘗試

窮舉攻擊

如銀行密碼是四位數(shù)字,則窮舉即可。

危害 DoS(Denial of Service)攻擊

鏈接描述
一種讓運行中的服務(wù)器呈停止中的攻擊
分布式的多臺計算機發(fā)起的dos攻擊稱為ddos(distributed Denial of Service)攻擊

在第三次握手環(huán)節(jié)耍流氓不響應(yīng)服務(wù)器,造成tcp半連接狀態(tài)。不停地發(fā)送syn握手,就會造成服務(wù)器資源大大消耗。
或者tcp全連接,但是每個連接都不釋放,最終達(dá)到服務(wù)器上限,癱瘓

1.制造大流量無用數(shù)據(jù),造成通往被攻擊主機的網(wǎng)絡(luò)擁塞,使被攻擊主機無法正常和外界通信。
2.利用被攻擊主機提供服務(wù)或傳輸協(xié)議上處理重復(fù)連接的缺陷,反復(fù)高頻的發(fā)出攻擊性的重復(fù)服務(wù)請求,使被攻擊主機無法及時處理其它正常的請求。
3.利用被攻擊主機所提供服務(wù)程序或傳輸協(xié)議的本身實現(xiàn)缺陷,反復(fù)發(fā)送畸形的攻擊數(shù)據(jù)引發(fā)系統(tǒng)錯誤的分配大量系統(tǒng)資源,使主機處于掛起狀態(tài)甚至死機。

危害

直接使服務(wù)器掛掉,影響了公司服務(wù)正常運轉(zhuǎn)

提高服務(wù)器帶寬,性能等

硬件防火墻專門過濾惡意來源的請求

ng設(shè)置黑名單

location / {
  deny 1.2.3.4;
}

上cdn

文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。

轉(zhuǎn)載請注明本文地址:http://systransis.cn/yun/109281.html

相關(guān)文章

  • 離大廠近一點《阿里巴巴集團Web安全測試規(guī)范》獨家版

    摘要:今天,我們就離大廠更近一點,共同學(xué)習(xí)阿里這份阿里巴巴集團安全測試規(guī)范阿里巴巴集團安全測試規(guī)范阿里巴巴集團安全測試規(guī)范背景簡介為了規(guī)避安全風(fēng)險規(guī)范代碼的安全開發(fā),以及如何系統(tǒng)的進(jìn)行安全性測試,目前缺少相應(yīng)的理論和方法支撐。 很多人都知道,在學(xué)校學(xué)的技術(shù),初創(chuàng)公司的技術(shù),外包公司的技術(shù),自研公司...

    wudengzan 評論0 收藏0

  • #WEB安全基礎(chǔ) : HTML/CSS | 文章索引

    摘要:黑體本系列講解安全所需要的和黑體安全基礎(chǔ)我的第一個網(wǎng)頁黑體安全基礎(chǔ)初識黑體安全基礎(chǔ)初識標(biāo)簽黑體安全基礎(chǔ)文件夾管理網(wǎng)站黑體安全基礎(chǔ)模塊化黑體安全基礎(chǔ)嵌套列表黑體安全基礎(chǔ)標(biāo)簽拓展和屬性的使用黑體安全基礎(chǔ)嵌套本系列講解WEB安全所需要的HTML和CSS #WEB安全基礎(chǔ) : HTML/CSS | 0x0 我的第一個網(wǎng)頁 #WEB安全基礎(chǔ) : HTML/CSS | 0x1初識CSS #WEB安全基...

    EscapedDog 評論0 收藏0

  • UCloud 開啟負(fù)載均衡+WAF一鍵聯(lián)動,云原生能力賦能Web防護創(chuàng)新模式

    摘要:為使用七層負(fù)載均衡的用戶,提供安全高效的應(yīng)用防護能力?;谪?fù)載均衡集群的運維能力,可快速進(jìn)行擴容容災(zāi)遷移的部署。伴隨著互聯(lián)網(wǎng)+時代的到來,Web系統(tǒng)作為企業(yè)IT業(yè)務(wù)的基本負(fù)載平臺,承載著各種不同種類的信息業(yè)務(wù)。但近年來針對Web應(yīng)用的攻擊事件頻發(fā),也讓W(xué)eb應(yīng)用的安全防御面臨著諸多挑戰(zhàn)。國家互聯(lián)網(wǎng)應(yīng)急中心報告就曾顯示,僅2020上半年國家信息安全漏洞共享平臺(CNVD)收錄通用型安全漏洞11...

    Tecode 評論0 收藏0

  • 信息安全入門指南

    摘要:以下所列出的鏈接均為在線文檔,有志于信息安全的愛好者可由此作為入門指南。 以下所列出的鏈接均為在線文檔,有志于信息安全的愛好者可由此作為入門指南。 常規(guī)知識 Sun認(rèn)證-Solaris 9&10安全管理員學(xué)習(xí)指南 PicoCTF資料 應(yīng)用軟件安全 OWASP安全編碼規(guī)范 漏洞挖掘 Windows ISV軟件安全防御 移動安全 OWASP十大移動手機安全風(fēng)險 網(wǎng)...

    jay_tian 評論0 收藏0

  • clojure的web安全比你想象的還要差

    摘要:的安全比你想象的還要差大會結(jié)束了,發(fā)表了題為的演說。宣稱,根據(jù)可供選擇的類庫來倒騰你自己的棧,這種思想方法導(dǎo)致了系統(tǒng)級的安全問題。對于而言,安全的會話管理只有非常少量的被證明過的最佳實踐。安全頭在應(yīng)用程序,沒有集中的類庫來居中管理安全頭。 Clojure的web安全比你想象的還要差 ClojureWest大會結(jié)束了,Aaron Bedra發(fā)表了題為 Clojure.web/with-...

    opengps 評論0 收藏0

發(fā)表評論

0條評論

最新活動
閱讀需要支付1元查看
<