安全研究

Web漏洞含義解釋


跨站攻擊

漏洞描述

跨站腳本攻擊(Cross-site scripting,通常簡稱爲XSS)發(fā)生在客戶端,可被(bèi)用于進(jìn)行竊取隐私、釣魚欺騙、偷取密碼、傳播惡意代碼等攻擊行爲。 惡意的攻擊者將(jiāng)對(duì)客戶端有危害的代碼放到服務器上作爲一個網頁内容, 使得其他網站用戶在觀看此網頁時,這(zhè)些代碼注入到了用戶的浏覽器中執行,使用戶受到攻擊。一般而言,利用跨站腳本攻擊,攻擊者可竊會(huì)話COOKIE從而竊取網站用戶的隐私,包括密碼。

XSS攻擊使用到的技術主要爲HTML和Javascript,也包括VBScript和ActionScript等。XSS攻擊對(duì)WEB服務器雖無直接危害,但是它借助網站進(jìn)行傳播,使網站的使用用戶受到攻擊,導緻網站用戶帳号被(bèi)竊取,從而對(duì)網站也産生了較嚴重的危害。

漏洞危害

1) 釣魚欺騙:最典型的就是利用目标網站的反射型跨站腳本漏洞將(jiāng)目标網站重定向(xiàng)到釣魚網站,或者注入釣魚JavaScript以監控目标網站的表單輸入,甚至發(fā)起(qǐ)基于DHTML更高級的釣魚攻擊方式。

2) 網站挂馬:跨站時利用IFrame嵌入隐藏的惡意網站或者將(jiāng)被(bèi)攻擊者定向(xiàng)到惡意網站上,或者彈出惡意網站窗口等方式都(dōu)可以進(jìn)行挂馬攻擊。

3) 身份盜用:Cookie是用戶對(duì)于特定網站的身份驗證标志,XSS可以盜取到用戶的Cookie,從而利用該Cookie盜取用戶對(duì)該網站的操作權限。如果一個網站管理員用戶Cookie被(bèi)竊取,將(jiāng)會(huì)對(duì)網站引發(fā)巨大的危害。

4) 盜取網站用戶信息:當能(néng)夠竊取到用戶Cookie從而獲取到用戶身份使,攻擊者可以獲取到用戶對(duì)網站的操作權限,從而查看用戶隐私信息。

5) 垃圾信息發(fā)送:比如在SNS社區中,利用XSS漏洞借用被(bèi)攻擊者的身份發(fā)送大量的垃圾信息給特定的目标群。

6) 劫持用戶Web行爲:一些高級的XSS攻擊甚至可以劫持用戶的Web行爲,監視用戶的浏覽曆史,發(fā)送與接收的數據等等。

7) XSS蠕蟲:XSS 蠕蟲可以用來打廣告、刷流量、挂馬、惡作劇、破壞網上數據、實施DDoS攻擊等。


CRLF攻擊

漏洞描述

HTTP響應拆分漏洞,也叫(jiào)CRLF注入攻擊。CR、LF分别對(duì)應回車、換行字符。

HTTP頭由很多被(bèi)CRLF組合分離的行構成(chéng),每行的結構都(dōu)是“鍵:值”。

如果用戶輸入的值部分注入了CRLF字符,它有可能(néng)改變的HTTP報頭結構。

漏洞危害

攻擊者可能(néng)注入自定義HTTP頭。例如,攻擊者可以注入會(huì)話cookie或HTML代碼。這(zhè)可能(néng)會(huì)進(jìn)行類似的XSS(跨站點腳本)或會(huì)話固定漏洞。


SQL注入攻擊

漏洞描述

SQL注入攻擊(SQL Injection),簡稱注入攻擊、SQL注入,被(bèi)廣泛用于非法獲取網站控制權,是發(fā)生在應用程序的數據庫層上的安全漏洞。 在設計不良的程序當中,忽略了對(duì)輸入字符串中夾帶的SQL指令的檢查,那麼(me)這(zhè)些夾帶進(jìn)去的指令就會(huì)被(bèi)數據庫誤認爲是正常的SQL指令而運行, 從而使數據庫受到攻擊,可能(néng)導緻數據被(bèi)竊取、更改、删除,以及進(jìn)一步導緻網站被(bèi)嵌入惡意代碼、被(bèi)植入後(hòu)門程序等危害。

漏洞危害

1) 機密數據被(bèi)竊取

2) 核心業務數據被(bèi)篡改

3) 網頁被(bèi)篡改

4) 數據庫所在服務器被(bèi)攻擊變爲傀儡主機,甚至企業網被(bèi)入侵。


寫入webshell攻擊

漏洞描述

寫入webshell攻擊,是指WAF檢測到攻擊者正在往用戶網站寫入網頁木馬,企圖控制服務器。

漏洞危害

攻擊者可以在用戶網站上寫入一個web木馬後(hòu)門,用于操作用戶網站上的文件,執行命令等等。


本地文件包含

漏洞描述

本地文件包含是指程序代碼在處理包含文件的時候沒(méi)有嚴格控制。

利用這(zhè)個漏洞,攻擊者可以先把上傳的靜态文件,或網站日志文件作爲代碼執行,進(jìn)而獲取到服務器權限,造成(chéng)網站被(bèi)惡意删除,用戶和交易數據被(bèi)篡改等一系列惡性後(hòu)果。

漏洞危害

攻擊著(zhe)可以利用該漏洞,在服務器上執行命令。


遠程文件包含

漏洞描述

遠程文件包含是指程序代碼在處理包含文件的時候沒(méi)有嚴格控制。導緻用戶可以構造參數包含遠程代碼在服務器上執行,進(jìn)而獲取到服務器權限,造成(chéng)網站被(bèi)惡意删除,用戶和交易數據被(bèi)篡改等一系列惡性後(hòu)果。

漏洞危害

攻擊著(zhe)可以利用該漏洞,在服務器上執行命令。


遠程代碼執行

漏洞描述

代碼注入是指由于服務端代碼漏洞導緻惡意用戶輸入在服務端被(bèi)執行的一種(zhǒng)高危安全漏洞。

漏洞危害

利用該漏洞,可以在服務器上執行攻擊者拼裝的代碼。


FastCGI攻擊

漏洞描述

Nginx中存在一個較爲嚴重的安全問題,FastCGI模塊默認情況下可能(néng)導緻服務器錯誤的將(jiāng)任何類型的文件以PHP的方式進(jìn)行解析。

漏洞危害

這(zhè)將(jiāng)導緻嚴重的安全問題,使得惡意的攻擊者可能(néng)攻陷支持php的Nginx服務器。

Copyright © 2019 All Rights Reserved Designed
杭州棧道網絡科技有限公司