2019-7-13 10:24:40 | 作者:老铁SEO | 0个评论 | 人浏览
常见Web应用攻击类型有:webshell、SQL注入、文件包含、CC攻击、XSS跨站脚本攻击、敏感文件访问、远程命令、恶意扫描、代码执行、恶意采集、特殊攻击、其他攻击十二种攻击类型。
5.点击攻击类型分布-攻击拦截趋势的“❔”查看攻击类型名词解释说明,也可参照下文说明。
Webshell是一种网站后门程序,通常以动态脚本语言(如:ASP、PHP、JSP)编写,混入在网站目录之下,用于控制服务器系统。
黑客在入侵网站后,通常会将Webshell后门文件与网站服务器Web目录下正常的网页文件混在一起,然后使用浏览器来访问这些后门,得到命令执行环境,从而控制网站或者Web系统服务器。
SQL 注入攻击(SQL Injection),简称注入攻击、SQL 注入,被广泛用于非法获取网站控制权,是发生在应用程序的数据库层上的安全漏洞。由于在设计程序时,忽略了对输入字符串中夹带的 SQL 指令的检查,被数据库误认为是正常的 SQL 指令而运行,进而使数据库受到攻击,可能导致数据被窃取、更改、删除,甚至执行系统命令等,以及进一步导致网站被嵌入恶意代码、被植入后门程序等危害。
1.过滤用户输入的数据。默认情况下,应当认为用户的所有输入都是不安全的。
文件包含漏洞是一种针对依赖于脚本运行时间的 Web 应用程序的漏洞。当应用程序使用攻击者控制的变量构建可执行代码的路径时,一旦其允许攻击者控制运行时执行哪个文件,则会引发该漏洞。文件包含漏洞会破坏应用程序加载代码的执行方式。
该漏洞可被利用在服务器上远程执行命令。攻击者可以把上传的静态文件或网站日志文件作为代码执行,获取服务器权限,并进一步篡改用户和交易数据,恶意删除网站等。
1.检查变量是否已经初始化;建议您假定所有输入都是可疑的,尝试对所有提交的输入中可能包含的文件地址(包括服务器本地文件及远程文件)进行严格的检查,参数中不允许出现 ../ 之类的目录跳转符。
3.不要仅仅在客户端做数据的验证与过滤,将关键的过滤步骤放在服务端执行;
跨站脚本攻击(XSS, Cross Site Script)通常指黑客通过”HTML注入”篡改了网页,插入恶意脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击。XSS漏洞可被用于用户身份窃取(特别是管理员)、行为劫持、挂马、蠕虫、钓鱼等。XSS是目前客户端Web安全中最重要的漏洞。
a. 反射XSS:页面仅把用户输入直接回显在页面或源码中,需要诱使用户点击才能成功;
b. 存储XSS:XSS攻击代码会被存储在服务器中,由于用户可能会主动浏览被攻击页面,此种方法危害较大;
c. DOM XSS:通过修改页面的DOM节点形成XSS,严格来讲也可划为反馈型XSS
1.XSS攻击对Web服务器本身虽无直接危害,但是它借助网站进行传播,对网站用户进行攻击,窃取网站用户账号信息等,从而也会对网站产生较严重的危害。XSS攻击可导致以下危害:
2.钓鱼欺骗、网站挂马、身份盗用、盗取网站用户信息、垃圾信息发送、XSS蠕虫等。
2.检查所有用户可控输入。对所有的输入点进行严格的检查,过滤或拦截所有不符合当前语境的输入;
3.检查所有用户输入的输出点。因为XSS最终攻击是发生在输出点,因此需要分析出用户输入数据的所有输出点的环境,是输入在HTML标签中,还是HTML属性、script标签、事件、CSS位置中,针对不同的输出位置,制定不同的转义或过滤规则;
4.处理富文本。在文章、论坛等需要用到富文本的地方,需要特别注意富文本与XSS的区分,严格禁止所有的危险标签及“事件”,原则上应当使用白名单过滤标签、事件及属性。
网站中存在一些敏感信息的文件,如配置文件、数据库、备份文件等,由于管理员和开发者的失误,导致这些文件可以让任何人访问。
1.检查网站目录下是否存在敏感的文件(如打包的网站源码备份、数据库备份),以及是否可以直接通过URL访问;
当网站程序中需要调用系统命令,并且调用的命令可通过外部输入来控制,就存在命令执行漏洞。
没有对代码中可执行的特殊函数入口做过滤,导致客户端可以提交恶意构造语句提交,并交由服务器端执行,常见的系统调用函数,如PHP的system、exec、shell_exec等函数。黑客利用命令执行漏洞即可控制操作系统。
1.建议假定所有输入都是可疑的,尝试对所有输入提交可能执行命令的构造语句进行严格的检查或者控制外部输入,系统命令执行函数的参数不允许外部传递;
4.对输出的数据也要检查,数据库里的值有可能会在一个大网站的多处都有输出,即使在输入做了编码等操作,在各处的输出点时也要进行安全检查;
代码执行漏洞是指应用程序对传入命令的参数过滤不严导致恶意攻击值能控制最终执行的命令,进而入侵系统,造成严重破坏的高危漏洞。
1.严格检查程序参数,特别是“&”,“&&”,“”,“”,”eval”,”execute” 这类参数;
2.在代码中去除 system 等直接命令行执行的函数,或者禁止把通过外部传入的参数传入到该类可执行函数的参数中;
恶意蜘蛛,恶意爬虫数据爬取行为,可能导致网站并发量上升,访客体验下降,商业数据泄露等风险。
利用特定APP的漏洞发起的攻击,比如discuz、dedeCMS,phpCMS等应用的系列漏洞。特殊应用漏洞被利用容易导致网站被getshell、数据泄露等问题,危害较大。
除开以上几种具体攻击的其他恶意攻击拦截,包括智能限速拦截、恶意代理IP拦截、恶意IDC IP拦截、CC工具攻击拦截等。
攻击活动 SQL(结构化查询语言)注入 概述 一个SQL注入攻击包含了从应用客户端的输入数据中注入或嵌入的方式,一个成功的SQL注入利用可以从数据库读取敏感信息,修改数据库数据(Insert/Update/Delete语句),对数据库进行管理员权限操作(比如关闭数据库管理系...
前言 对于一个影子杀手而言,总能杀人于无形。前端也有影子杀手,它总是防不胜防地危害着你的网站 本篇打算介绍一些前端的影子杀手们——XSS和CSRF。或许,你对它恨之入骨;又或者,你运用的得心应手。恨之入骨,可能是因为你的网站被它搞得苦不堪言;得心应手,可能是因为你从事这项工...
HTML注入 HTML 注入向站点和开发者展示了漏洞,因为他可以用于误导用户,并且欺骗它们来提交一些敏感信息,或者浏览恶意网站。就像钓鱼攻击那样。 CRLF注入 CRLF 注入是一类漏洞,在用户设法向应用插入 CRLF 时出现。在多种互联网协议中,包括HTML,CRLF 字...
——· 关于本书 ·—— 这本书的初版发表于1940年,1972年由艾德勒和范多伦进行了大幅度的增补改写。几十年间,他们修修改改了很多次,我们今天所看到的就是多次修改后的版本。这本书在美国学界常年高居畅销榜不下,可见它是首屈一指的阅读指导性书籍。 ——· 关于作者 ·—— ...
春天多么像我,呼吸舒畅, 动作轻灵,步伐稳重, 心里步散着光辉, 脸上端着,转过身去, 任花蕾在月光里拉开腰身, 在枝头上演曼妙的舞姿。 睫毛像密密麻麻的流苏, 点缀在看风中出神眼睛的边境。 迎春谢了,玉兰开了,然后是海棠, 羞涩地只冒出花骨朵, 鼓胀的眼球, 是不是在昨日...
R原文片段(赵老师的话) 我们必须区分两类学习,一类叫“以知识为中心的学习”,一类叫“以自己为中心的学习”。以知识为中心的学习也叫学院式学习,pedegogy,通常是以通过考试或科学研究为目的,主要强调对知识的理解、记忆、归纳、解题。以自己为中心的学习也叫成人学习,Andr...
驿外山野一墨清,袖风担月无分明。 迷蝶非赴庄生约,怀旧还觅放翁门。 只影淡淡向昏去,瘦枝疏疏对幽茗。 笛中清怨同月诉,湛然本真一浅心。