1. web漏洞SQL注入攻击

SQL注入攻击全称:SQL Injection,简称注入攻击,被广泛用于非法获取网站控制权,是发生在应用程序的数据库层上的安全漏洞。 在设计不良的程序当中,忽略了对输入字符串中夹带的SQL指令进行检查,导致夹带的SQL指令被数据库误认为是正常的SQL指令而运行, 从而使数据库受到攻击,导致数据被窃取、更改、或删除,甚至进一步导致网站被嵌入恶意代码、被植入后门程序等危害。

SQL注入攻击可导致以下危害:

1、机密数据被窃取。

2、网页被篡改。

3、 数据库所在的服务器被攻击变成傀儡主机,甚至企业网站被入侵。

4、核心业务数据被篡改。

2. web漏洞CRLF攻击

HTTP响应拆分漏洞,也叫CRLF注入攻击。CR、LF分别对应回车、换行字符。 HTTP头信息由很多被CRLF组合分离的行构成,每行的结构都是“键:值”。如果用户输入的值部分注入了CRLF字符,它有可能改变的HTTP报头结构。

漏洞危害:攻击者通过注入自定义HTTP头信息(例如,攻击者可以注入会话cookie或HTML代码),进行XSS攻击或会话固定漏洞攻击等。

3. web漏洞跨站攻击

跨站脚本攻击全称英文:Cross-site scripting,简称XSS攻击,通常发生在客户端,可被用于进行隐私窃取、钓鱼欺骗、密码偷取、恶意代码传播等攻击行为。XSS攻击使用到的技术主要为HTML和Javascript脚本,也包括VBScript和ActionScript脚本等。恶意攻击者将对客户端有危害的代码放到服务器上作为一个网页内容,用户不经意打开此网页时,这些恶意代码会注入到用户的浏览器中并执行,从而使用户受到攻击。一般而言利用跨站脚本攻击攻击者可窃取会话cookie,从而获得用户的隐私信息甚至包括密码等敏感信息。

XSS攻击对Web服务器本身虽无直接危害但是它借助网站进行传播,对网站用户进行攻击窃取网站用户账号信息等,从而也会对网站产生较严重的危害。XSS攻击可导致以下危害:

1、钓鱼欺骗:最典型的就是利用目标网站的反射型跨站脚本漏洞将目标网站重定向到钓鱼网站,或者通过注入钓鱼JavaScript脚本以监控目标网站的表单输入,甚至攻击者基于DHTML技术发起更高级的钓鱼攻击。

2、网站挂马:跨站时,攻击者利用Iframe标签嵌入隐藏的恶意网站,将被攻击者定向到恶意网站上、或弹出恶意网站窗口等方式,进行挂马攻击。

3、身份盗用:Cookie是用户对于特定网站的身份验证标志,XSS攻击可以盗取用户的cookie,从而利用该cookie盗取用户对该网站的操作权限。如果一个网站管理员用户的cookie被窃取,将会对网站引发巨大的危害。

4、盗取网站用户信息:当窃取到用户cookie从而获取到用户身份时,攻击者可以盗取到用户对网站的操作权限,从而查看用户隐私信息。

5、垃圾信息发送:在社交网站社区中,利用XSS漏洞借用被攻击者的身份发送大量的垃圾信息给特定的目标群。

6、劫持用户Web行为:一些高级的XSS攻击甚至可以劫持用户的Web行为,从而监视用户的浏览历史、发送与接收的数据等等。

7、XSS蠕虫:借助XSS蠕虫病毒还可以用来打广告、刷流量、挂马、恶作剧、破坏网上数据、实施DDoS攻击等。

评论

请填写评论内容😊
请填写你的大名