5

常见的Web攻击方式有哪些?黑客:28种总有一款适合你

 3 years ago
source link: http://netsecurity.51cto.com/art/202101/643050.htm
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.

有数据显示,有约98%的网站曾经遭受黑客攻击。也就是说,几乎所有的网站,都被黑客送过“温暖”,它们无时无刻都在关注着我们的网站,有时候他们对网站的关注程度,甚至超过了我们。

在这里,给广大的黑客朋友们说一句:“你们辛苦了。”

圣诞老人只会在平安夜,给孩子们送去各种各样的礼物,黑客们却更加敬业,365天全年无休,7x24小时值班蹲守,只要你的网站有可乘之机,它就会毫不犹豫,尽职尽责。

z2AjQrm.jpg!mobile

就像圣诞袜里的礼物一样,礼物虽然五花八门,但总不会装着宇宙飞船和航空母舰,它总在一个范围内。黑客们送给站长们的“礼物”虽然千奇百怪,但也总离不开那几样。

黑客们会送什么样的“礼物”呢?是时候揭秘一下了!

这些Web攻击手段,有些可植入恶意代码,有些可获取网站权限,有些还能获取网站用户隐私信息。光常见的Web攻击,就有28种之多,方式多、破坏力惊人!

SQL注入

Web应用未对用户提交的数据做过滤或者转义,导致后端数据库服务器执行了黑客提交的sql语句。黑客利用sql注入攻击可进行拖库、植入webshell,进而入侵服务器。

q6vEVjE.jpg!mobile

XSS跨站

Web应用未对用户提交的数据做过滤或者转义,导致黑客提交的javascript代码被浏览器执行。黑客利用xss跨站攻击,可以构造恶意蠕虫、劫持网站cookie、获取键盘记录、植入恶意挖矿js代码。

命令注入

Web应用未对用户提交的数据做过滤或者转义,导致服务器端执行了黑客提交的命令。黑客利用登入注入攻击,可以对服务器植入后门、直接反弹shell入侵服务器。

CSRF

Web应用对某些请求未对来源做验证,导致登录用户的浏览器执行黑客伪造的HTTP请求,并且应用程序认为是受害者发起的合法请求的请求。黑客利用CSRF攻击可以执行一些越权操作如添加后台管理员、删除文章等。

目录遍历

Web应用对相关目录未做访问权限控制,并且未对用户提交的数据做过滤或者转义,导致服务器敏感文件泄露。黑客利用目录遍历攻击,可获取服务器的配置文件,进而入侵服务器。

本地文件包含

Web应用对相关目录未做访问权限控制,并且未对用户提交的数据做过滤或者转义,导致服务器敏感文件泄露。黑客利用本地文件包含漏洞,可以获取服务器敏感文件、植入webshell入侵服务器。

远程文件包含

Web应用未对用户提交的文件名做过滤或者转义,导致引入远程的恶意文件。黑客利用远程文件包含漏洞,可以加载远程的恶意文件,导致恶意代码执行、获取服务器的权限。

木马后门

Web应用未对用户提交的数据做过滤或者转义,导致木马代码执行。黑客利用木马后门攻击,可以入侵服务器。

缓冲区溢出

http协议未对请求头部做字节大小限制,导致可以提交大量数据因此可能导致恶意代码被执行。

文件上传

Web应用未对文件名后缀,上传数据包是否合规,导致恶意文件上传。文件上传攻击,将包含恶意代码的文件上传到服务器,最终导致服务器被入侵。

扫描器扫描

黑客利用漏洞扫描器扫描网站,可以发现web应用存在的漏洞,最终利用相关漏洞攻击网站。

高级爬虫

爬虫自动化程度较高可以识别setcookie等简单的爬虫防护方式。

常规爬虫

爬虫自动化程度较低,可以利用一些简单的防护算法识别,如setcookie的方式。

bmmaqeJ.jpg!mobile

敏感信息泄露

web应用过滤用户提交的数据导致应用程序抛出异常,泄露敏感信息,黑客可能利用泄露的敏感信息进一步攻击网站

服务器错误

Web应用配置错误,导致服务器报错从而泄露敏感信息,黑客可能利用泄露的敏感信息进一步攻击网站。

非法文件下载

Web应用未对敏感文件(密码、配置、备份、数据库等)访问做权限控制,导致敏感文件被下载,黑客利用下载的敏感文件可以进一步攻击网站。

第三方组件漏洞

Web应用使用了存在漏洞的第三方组件,导致网站被攻击。

XPATH注入

Web应用在用xpath解析xml时未对用户提交的数据做过滤,导致恶意构造的语句被xpath执行。黑客利用xpath注入攻击,可以获取xml文档的重要信息。

XML注入

Web应用程序使用较早的或配置不佳的XML处理器解析了XML文档中的外部实体引用,导致服务器解析外部引入的xml实体。黑客利用xml注入攻击可以获取服务器敏感文件、端口扫描攻击、dos攻击。

LDAP注入防护

Web应用使用ldap协议访问目录,并且未对用户提交的数据做过滤或转义,导致服务端执行了恶意ldap语句,黑客利用ldap注入可获取用户信息、提升权限。

SSI注入

Web服务器配置了ssi,并且html中嵌入用户输入,导致服务器执行恶意的ssi命令。黑客利用ssi注入可以执行系统命令。

Webshell

黑客连接尝试去连接网站可能存在的webshell,黑客可能通过中国菜刀等工具去连接webshell入侵服务器。

暴力破解

黑客在短时间内大量请求某一url尝试猜解网站用户名、密码等信息,黑客利用暴力破解攻击,猜解网站的用户名、密码,可以进一步攻击网站。

非法请求方法

Web应用服务器配置允许put请求方法请求,黑客可以构造非法请求方式上传恶意文件入侵服务器。

撞库

Web应用对用户登入功能没做验证码验证,黑客可以借助工具结合社工库去猜网站用户名及密码。

aeyQZrF.jpg!mobile

固定会话

Web应用使用固定的cookie会话,导致cookie劫持。

IP黑名单

某一被确认为恶意ip,被waf拉黑后,所有请求都会被拦截

动态IP黑名单

某一ip发送了较多攻击请求,会被waf自动拉黑一段时间,该时间段内所有的请求都被拦截。

以上就是常见的Web攻击类型,足足有28种之多!正所谓想要成为世界上最坚固的盾牌,必须先了解世界上最好的矛。

【责任编辑:赵宁宁 TEL:(010)68476606】


report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK