Web安全领域常见的一些安全问题。,一篇打包带走!

时间:2021-09-13来源:栏目:网络营销

今天,我想介绍一些Web安全领域常见的安全问题。1. SQL注入SQL注入攻击的核心是让Web服务器执行攻击者期望的SQL语句,从而获取数据库中感兴趣的数据或者读取、修改、删除、插入...

今天,我想介绍一些Web安全领域常见的安全问题。

1. SQL注入

SQL注入攻击的核心是让Web服务器执行攻击者期望的SQL语句,从而获取数据库中感兴趣的数据或者读取、修改、删除、插入数据库,从而达到其邪恶的目的。

以及如何让Web服务器执行攻击者的SQL语句?

SQL注入的常规做法是将SQL语句放入表单或请求参数,并将它们提交给后端服务器。如果后端服务器不输入安全检查,很容易被直接取出变量进行数据库查询所捕获。

例子如下:

对于根据用户标识获取用户信息的接口,后端的SQL语句一般如下:

其中$id是前端提交的用户id,如果前端的请求是这样的:

GET xx/userinfo?id=1或1=1

请求参数id转义后,它是1or1=1。如果后端在没有安全过滤的情况下直接提交数据库查询,SQL语句将变成:

从而找出用户表中的所有数据,达到黑客泄露数据的目的。

以上只是一个非常简单的例子。在真正的SQL注入攻击中,参数构造和SQL语句比这复杂得多,但原理是一样的。

2.XSS进攻。

XSS是跨站脚本的全称。为了区别于重叠样式表的CSS,另一个缩写XSS被改变了。

XSS攻击的核心是在网页中嵌入可执行的前端脚本代码(通常是JavaScript),这听起来相当令人反感。通俗地说,攻击者希望您的浏览器执行他编写的JS代码。

那你是怎么做到的呢?XSS将军分为两种类型:

反射型

(1)攻击者在URL中放置JS代码作为请求参数,诱导用户点击。示例:

http://localhost:8080/test?名称=

(2)用户点击后,JS作为请求参数发送到Web服务器后端。

(3)后端服务器没有进行检查和过滤,只是简单的处理后放在网页正文中,返回给浏览器。

(4)浏览器解析返回的网页,这是个诡计~

存储型

上述模式下的攻击脚本由服务器直接转手,然后返回浏览器触发执行。存储类型和它的区别在于,攻击脚本可以存储在仓库中,然后渲染到网页中,返回给浏览器,以便以后查询时触发执行。常见例程的示例如下:

(1)攻击者回复网页,帖子包含JS脚本。

(2)回复提交到服务器后,存储在数据库中。

(3)其他网友查看帖子,后台查询帖子回复内容,搭建完整网页,返回浏览器。

(4)用户浏览器渲染返回的网页,被抓!

3. CSRF攻击

CSRF,跨站请求伪造,其核心思想是在打开网站A的同时打开Tab页面打开恶意网站B,此时在页面B的煽动下,浏览器向网站A发起HTTP请求.

这个过程的危害在于两点:

(1)这个HTTP请求不是用户的主动意图,而是b“唆使”的。如果是危害极大的请求操作(发邮件?删除数据?等等。)那就麻烦了。

(2)由于A网站之前已经打开过,浏览器存储了A发布的Cookie或其他用于身份认证的信息,而这一次“被教唆”的请求会自动带来这些信息,所以A网站后端无法判断这是否是用户的真实意愿。

4.DDos攻击。

DDoS的全称是分布式拒绝服务:分布式拒绝服务攻击。

是拒绝服务攻击的升级版本。顾名思义,拒绝服务会使服务不可用。

常用于攻击向外界提供服务的服务器,如常见的:

Web服务

邮件服务

域名服务

即时消息服务

.

攻击者不断提出服务请求,使得合法用户的请求无法得到及时处理。这叫做DoS攻击。

攻击者使用多台计算机或者计算机集群进行DoS攻击,就是DDoS攻击。

在早期互联网技术还没有那么发达的时候,发起DoS攻击是一件很容易的事情,一台性能强劲的计算机,写个程序多线程不断向服务器进行请求,服务器应接不暇,最终无法处理正常的请求,对别的正常用户来说,看上去网站貌似无法访问,拒绝服务就是这么个意思。

这种情况下,还想靠单台计算机去试图让一个网络服务满载,无异于鸡蛋碰石头,对方没趴下,自己先趴下了。

技术从来都是一柄双刃剑,分布式技术既可以用来提供高可用的服务,也能够被攻击方用来进行大规模杀伤性攻击。

攻击者不再局限于单台计算机的攻击能力,转而通过成规模的网络集群发起拒绝服务攻击。

5. DNS劫持

当今互联网流量中,以HTTP/HTTPS为主的Web服务产生的流量占据了绝大部分。

Web服务发展的如火如荼,这背后离不开一个默默无闻的大功臣就是域名解析系统:

如果没有DNS,我们上网需要记忆每个网站的IP地址而不是他们的域名,这简直是灾难,好在DNS默默在背后做了这一切,我们只需要记住一个域名,剩下的交给DNS来完成吧。

也正是因为其重要性,别有用心的人自然是不会放过它,DNS劫持技术被发明了出来。

DNS提供服务用来将域名转换成IP地址,然而在早期协议的设计中并没有太多考虑其安全性,对于查询方来说:

我去请求的真的是一个DNS服务器吗?是不是别人冒充的?

查询的结果有没有被人篡改过?这个IP真是这个网站的吗?

DNS协议中没有机制去保证能回答这些问题,因此DNS劫持现象非常泛滥,从用户在地址栏输入一个域名的那一刻起,一路上的凶险防不胜防:

本地计算机中的木马修改hosts文件

本地计算机中的木马修改DNS数据包中的应答

网络中的节点(如路由器)修改DNS数据包中的应答

网络中的节点(如运营商)修改DNS数据包中的应答

......

后来,为了在客户端对收到对DNS应答进行校验,出现了DNSSEC技术,一定程度上可以解决上面的部分问题。

但限于一些方面的原因,这项技术并没有大规模用起来,尤其在国内,鲜有部署应用。

再后来,以阿里、腾讯等头部互联网厂商开始推出了httpDNS服务,来了一招釜底抽薪,虽然这项技术的名字中还有DNS三个字母,但实现上和原来但DNS已经是天差地别,通过这项技术让DNS变成了在http协议之上的一个应用服务。

6. JSON劫持

JSON是一种轻量级的数据交换格式,而劫持就是对数据进行窃取(或者应该称为打劫、拦截比较合适。

恶意攻击者通过某些特定的手段,将本应该返回给用户的JSON数据进行拦截,转而将数据发送回给恶意攻击者,这就是JSON劫持的大概含义。

一般来说进行劫持的JSON数据都是包含敏感信息或者有价值的数据。

7. 暴力破解

这个一般针对密码而言,弱密码(Weak Password)很容易被别人(对你很了解的人等)猜到或被破解工具暴力破解。

解决方案 密码复杂度要足够大,也要足够隐蔽 限制尝试次数。

8. HTTP报头追踪漏洞

HTTP/1.1(RFC2616)规范定义了HTTP TRACE方法,主要是用于客户端通过向Web服务器提交TRACE请求来进行测试或获得诊断信息。

当Web服务器启用TRACE时,提交的请求头会在服务器响应的内容(Body)中完整的返回,其中HTTP头很可能包括Session Token、Cookies或其它认证信息。

攻击者可以利用此漏洞来欺骗合法用户并得到他们的私人信息。

解决方案:

禁用HTTP TRACE方法。

9. 信息泄露

由于Web服务器或应用程序没有正确处理一些特殊请求,泄露Web服务器的一些敏感信息,如用户名、密码、源代码、服务器信息、配置信息等。

所以一般需注意:

应用程序报错时,不对外产生调试信息 过滤用户提交的数据与特殊字符 保证源代码、服务器配置的安全

10. 目录遍历漏洞

攻击者向Web服务器发送请求,通过在URL中或在有特殊意义的目录中附加../、或者附加../的一些变形(如..\或..//甚至其编码),导致攻击者能够访问未授权的目录,以及在Web服务器的根目录以外执行命令。

11. 命令执行漏洞

命令执行漏洞是通过URL发起请求,在Web服务器端执行未授权的命令,获取系统信息、篡改系统配置、控制整个系统、使系统瘫痪等。

12. 文件上传漏洞

如果对文件上传路径变量过滤不严,并且对用户上传的文件后缀以及文件类型限制不严,攻击者可通过Web访问的目录上传任意文件,包括网站后门文件(webshell),进而远程控制网站服务器。

所以一般需注意:

在开发网站及应用程序过程中,需严格限制和校验上传的文件,禁止上传恶意代码的文件 限制相关目录的执行权限,防范webshell攻击。

13. 其他漏洞

SSLStrip攻击

OpenSSL Heartbleed安全漏洞

CCS注入漏洞

证书有效性验证漏洞

14. 业务漏洞

一般业务漏洞是跟具体的应用程序相关,比如参数篡改(连续编号ID/订单、1元支付)、重放攻击(伪装支付)、权限控制(越权操作)等。

另外可以参考:6种常见web漏洞坑

15. 框架或应用漏洞

WordPress 4.7 / 4.7.1:REST API 内容注入漏洞

Drupal Module RESTWS 7.x:Remote PHP Code Execution

SugarCRM 6.5.23:REST PHP Object Injection Exploit

Apache Struts:REST Plugin With Dynamic Method Invocation Remote Code Execution

Oracle GlassFish Server:REST CSRF

QQ Browser 9.6:API 权限控制问题导致泄露隐私模式

Hacking Docker:Registry API 未授权访问

1.本站部分来源于互联网用户自主整合上传,如有侵权,请联系我们删除;

2.文章内容并不代表本站的观点或立场,如有关于文章内容,版权或其它问题请联系删除;

3.本文地址:https://jiatu888.com/wlyx/83520.html

最新文章

网站介绍

本站部分内容收集于互联网,如有侵犯贵司(个人)版权,请联系本站删除。

Copyright@2018-2021 www.jiatu888.com 嘉图网 All Rights Reserved 粤ICP备20051635号 网站地图 tag列表

嘉图网