web安全学习-常见安全事件

原创
2021/08/23 15:03
阅读数 112

常见的安全问题

  • 钓鱼 伪造页面,骗取用户个人信息
  • 篡改 攻破系统,篡改页面内容
  • 暗链 攻破系统,在原网页植入隐藏链接,一般用于提升这些隐藏链接的排名目的(爬虫机器人)
  • webshell 攻破后,留有后门,随时可以控制

web安全

客户端

  1. XSS “XSS是跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。
存在三种XSS类型,通常针对用户的浏览器:
  • 反射式XSS 应用程序或API包括未经验证和未经转义的用户输入,作为HTML输出的一部分。一个成功的攻击可以让攻击者在受害者的浏览器中执行任意的HTML和JavaScript。通常,用户将需要与指向攻击者控制页面的某些恶意链接进行交互,例如恶意漏洞网站,广告或类似内容。

  • 存储式XSS 你的应用或者API将未净化的用户输入存储下来了,并在后期在其他用户或者管理员的页面展示出来。存储型XSS一般被认为是高危或严重的风险。

  • 基于DOM的XSS 会动态的将攻击者可控的内容加入页面的JavaScript框架、单页面程序或API存在这种类型的漏洞。理想的来说,你应该避免将攻击者可控的数据发送给不安全的JavaScript API。典型的XSS攻击可导致盗取session、账户、绕过MFA、DIV替换、对用户浏览器的攻击(例如:恶意软件下载、键盘记录)以及其他用户侧的攻击。

  1. CSRF CSRF(Cross Site Request Forgery),中文是跨站点请求伪造。CSRF攻击者在用户已经登录目标网站之后,诱使用户访问一个攻击页面,利用目标网站对用户的信任,以用户身份在攻击页面对目标网站发起伪造用户操作的请求,达到攻击目的。

  2. 点击劫持 点击劫持(ClickJacking)是一种视觉上的欺骗手段。大概有两种方式,一是攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在该页面上进行操作,此时用户将在不知情的情况下点击透明的iframe页面;二是攻击者使用一张图片覆盖在网页,遮挡网页原有位置的含义;

  3. URL跳转
    对于URL跳转的实现一般会有几种实现方式:

  • META标签内跳转
  • javascript跳转
  • header头跳转

通过以GET或者POST的方式接收将要跳转的URL,然后通过上面的几种方式的其中一种来跳转到目标URL。一方面,由于用户的输入会进入Meta,javascript,http头所以都可能发生相应上下文的漏洞,如xss等等,但是同时,即使只是对于URL跳转本身功能方面就存在一个缺陷,因为会将用户浏览器从可信的站点导向到不可信的站点,同时如果跳转的时候带有敏感数据一样可能将敏感数据泄漏给不可信的第三方。

服务器

SQL注入

定义:通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统

攻击:注入恶意的SQL命令 攻击步骤:1)寻找注入点 2)获取和验证SQL注入点 3)获取信息 4)实施直接/间接控制 攻击载体:GET请求,POST请求,HTTP头,Cookie 通过burpsuit进行攻击或sqlmap进行盲注 注入类型:数字型注入,字符型注入,搜索型注入,基于时间的延迟注入,可联合查询注入,报错形注入,布尔形注入,可多语句查询注入

防御: 采用sql语句预编译和绑定变量,是防御sql注入的最佳方法 严格检查参数的数据类型,还有可以使用一些安全函数,来方式sql注入

命令注入
文件操作
展开阅读全文
加载中

作者的其它热门文章

打赏
0
0 收藏
分享
打赏
0 评论
0 收藏
0
分享
返回顶部
顶部