當(dāng)前位置:首頁 > 智能硬件 > 安全設(shè)備/系統(tǒng)
[導(dǎo)讀] (文章來源:碼源網(wǎng)) Web應(yīng)用程序通常是指通過HTTP / HTTPS協(xié)議共同提供服務(wù)的B / S體系結(jié)構(gòu)。 隨著Internet的發(fā)展,Web應(yīng)用程序已集成到我們?nèi)粘I畹母鱾€方面。

(文章來源:碼源網(wǎng))

Web應(yīng)用程序通常是指通過HTTP / HTTPS協(xié)議共同提供服務(wù)的B / S體系結(jié)構(gòu)。 隨著Internet的發(fā)展,Web應(yīng)用程序已集成到我們?nèi)粘I畹母鱾€方面。 在當(dāng)前的Web應(yīng)用程序中,大多數(shù)應(yīng)用程序不是靜態(tài)Web瀏覽,而是涉及服務(wù)器的動態(tài)處理。 如果開發(fā)人員的安全意識不強(qiáng),將導(dǎo)致無休止的Web應(yīng)用程序安全問題。

我們通常指的Web應(yīng)用程序攻擊是指攻擊者通過瀏覽器或其他攻擊工具向URL或其他輸入?yún)^(qū)域(例如表單)中的Web服務(wù)器發(fā)送特殊請求,以發(fā)現(xiàn)Web應(yīng)用程序的存在。 反過來,通過操作和控制網(wǎng)站來達(dá)到入侵者的目的。SQL注入(SQL Injection)是最常見的漏洞,具有多種影響。 攻擊者將SQL命令插入Web表單以提交或輸入域名或頁面請求的查詢字符串,并最終誘使服務(wù)器執(zhí)行惡意SQL命令,從而入侵數(shù)據(jù)庫以執(zhí)行任意查詢。

SQL注入可能造成的危害是:篡改了網(wǎng)頁和數(shù)據(jù),竊取了核心數(shù)據(jù),攻擊了數(shù)據(jù)庫所在的服務(wù)器,并使之成為a主機(jī)。例如,某些網(wǎng)站不使用預(yù)編譯的SQL,并且用戶在界面上輸入的某些字段將添加到SQL。 這些字段可能包含一些惡意SQL命令。 例如:password =“ 1'OR'1'='1”; 即使您不知道用戶密碼,也可以正常登錄。

測試方法:在需要查詢的頁面上,輸入簡單的SQL語句,例如正確的查詢條件和1 = 1,然后檢查響應(yīng)結(jié)果。如果結(jié)果與正確的查詢條件相符,則表明該應(yīng)用程序尚未篩選用戶輸入,并且可以初步判斷它存在。 SQL注入漏洞。SS(跨站點(diǎn)腳本)類似于SQL注入,XSS通過網(wǎng)頁插入惡意腳本。使用的主要技術(shù)是前端HTML和JavaScript腳本。當(dāng)用戶瀏覽網(wǎng)頁時,將實(shí)施一種控制用戶瀏覽器行為的攻擊方法。

成功的XSS可以獲取用戶的cookie,并使用該cookie竊取用戶在網(wǎng)站上的操作權(quán)限。它還可以獲取用戶的聯(lián)系人列表,并使用攻擊者的身份將大量垃圾郵件發(fā)送到特定的目標(biāo)組。 ,還有很多。XSS分為三類:存儲(持久XSS),反射(非持久XSS)和DOM。測試方法:在數(shù)據(jù)輸入界面上,輸入:保存成功后,彈出對話框,提示存在XSS漏洞。或更改url請求中的參數(shù)。如果頁面上彈出對話框,則表明存在XSS漏洞。

CSRF(Cross Site Request Forgery),利用已登錄的用戶身份,以用戶的名義發(fā)送惡意請求,完成非法操作。例如,如果用戶瀏覽并信任具有CSRF漏洞的網(wǎng)站A,則瀏覽器會生成相應(yīng)的cookie,并且用戶訪問危險的網(wǎng)站B而不退出網(wǎng)站。

危險網(wǎng)站B要求訪問網(wǎng)站A并提出要求。 瀏覽器使用用戶的cookie信息訪問網(wǎng)站A。 由于網(wǎng)站A不知道是用戶自身發(fā)出的請求還是危險網(wǎng)站B發(fā)出的請求,因此將處理危險網(wǎng)站B的請求,從而完成了用戶操作目的的模擬。 這是CSRF攻擊的基本思路。

測試方法:同個瀏覽器打開兩個頁面,一個頁面權(quán)限失效后,另一個頁面是否可操作成功,如果仍然能操作成功即存在風(fēng)險。2.使用工具發(fā)送請求,在http請求頭中不加入referer字段,檢驗(yàn)返回消息的應(yīng)答,應(yīng)該重新定位到錯誤界面或者登錄界面。文件上傳攻擊是指攻擊者將可執(zhí)行文件上傳到服務(wù)器并執(zhí)行該文件時。

這種攻擊方法是最直接,最有效的。 上載的文件可以是病毒,特洛伊木馬,惡意腳本或Webshell。

Webshell是Web文件(例如asp,php,jsp或cgi)形式的命令執(zhí)行環(huán)境。 也可以說是Web后門。 攻擊者阻止或在受影響的系統(tǒng)上插入Web Shell之后,他可以輕松地通過Web Shell訪問系統(tǒng)以控制Web服務(wù)器。測試方法:嚴(yán)格檢查上傳文件的類型和大小,禁止上傳帶有惡意代碼的文件。檢查相關(guān)目錄的執(zhí)行權(quán)限。 您可以通過瀏覽器訪問Web服務(wù)器上的所有目錄,并檢查是否返回了目錄結(jié)構(gòu)。 如果顯示目錄結(jié)構(gòu),則可能存在安全問題。

URL跳轉(zhuǎn)漏洞,即未經(jīng)驗(yàn)證的重定向漏洞,是指Web程序直接跳轉(zhuǎn)到參數(shù)中的URL,或者在頁面中引入了任意開發(fā)者的URL,將程序引導(dǎo)到不安全的第三方區(qū)域,從而導(dǎo)致安全問題。測試方法:1.使用數(shù)據(jù)包捕獲工具捕獲請求。2.抓住302 URL,修改目標(biāo)地址,然后查看它是否可以跳轉(zhuǎn)。ps:但是現(xiàn)在很多跳轉(zhuǎn)都添加了引薦來源驗(yàn)證,這導(dǎo)致攻擊者無法跳轉(zhuǎn)。

以上是一些常見的Web安全漏洞和測試方法。 隨著對網(wǎng)絡(luò)安全性的日益重視,Web安全性測試在測試過程中的重要性日益突出。 盡管也有諸如AppScan之類的漏洞掃描工具,但測試人員還需要具有一些常見的安全漏洞的知識。

本站聲明: 本文章由作者或相關(guān)機(jī)構(gòu)授權(quán)發(fā)布,目的在于傳遞更多信息,并不代表本站贊同其觀點(diǎn),本站亦不保證或承諾內(nèi)容真實(shí)性等。需要轉(zhuǎn)載請聯(lián)系該專欄作者,如若文章內(nèi)容侵犯您的權(quán)益,請及時聯(lián)系本站刪除。
換一批
延伸閱讀

9月2日消息,不造車的華為或?qū)⒋呱龈蟮莫?dú)角獸公司,隨著阿維塔和賽力斯的入局,華為引望愈發(fā)顯得引人矚目。

關(guān)鍵字: 阿維塔 塞力斯 華為

加利福尼亞州圣克拉拉縣2024年8月30日 /美通社/ -- 數(shù)字化轉(zhuǎn)型技術(shù)解決方案公司Trianz今天宣布,該公司與Amazon Web Services (AWS)簽訂了...

關(guān)鍵字: AWS AN BSP 數(shù)字化

倫敦2024年8月29日 /美通社/ -- 英國汽車技術(shù)公司SODA.Auto推出其旗艦產(chǎn)品SODA V,這是全球首款涵蓋汽車工程師從創(chuàng)意到認(rèn)證的所有需求的工具,可用于創(chuàng)建軟件定義汽車。 SODA V工具的開發(fā)耗時1.5...

關(guān)鍵字: 汽車 人工智能 智能驅(qū)動 BSP

北京2024年8月28日 /美通社/ -- 越來越多用戶希望企業(yè)業(yè)務(wù)能7×24不間斷運(yùn)行,同時企業(yè)卻面臨越來越多業(yè)務(wù)中斷的風(fēng)險,如企業(yè)系統(tǒng)復(fù)雜性的增加,頻繁的功能更新和發(fā)布等。如何確保業(yè)務(wù)連續(xù)性,提升韌性,成...

關(guān)鍵字: 亞馬遜 解密 控制平面 BSP

8月30日消息,據(jù)媒體報道,騰訊和網(wǎng)易近期正在縮減他們對日本游戲市場的投資。

關(guān)鍵字: 騰訊 編碼器 CPU

8月28日消息,今天上午,2024中國國際大數(shù)據(jù)產(chǎn)業(yè)博覽會開幕式在貴陽舉行,華為董事、質(zhì)量流程IT總裁陶景文發(fā)表了演講。

關(guān)鍵字: 華為 12nm EDA 半導(dǎo)體

8月28日消息,在2024中國國際大數(shù)據(jù)產(chǎn)業(yè)博覽會上,華為常務(wù)董事、華為云CEO張平安發(fā)表演講稱,數(shù)字世界的話語權(quán)最終是由生態(tài)的繁榮決定的。

關(guān)鍵字: 華為 12nm 手機(jī) 衛(wèi)星通信

要點(diǎn): 有效應(yīng)對環(huán)境變化,經(jīng)營業(yè)績穩(wěn)中有升 落實(shí)提質(zhì)增效舉措,毛利潤率延續(xù)升勢 戰(zhàn)略布局成效顯著,戰(zhàn)新業(yè)務(wù)引領(lǐng)增長 以科技創(chuàng)新為引領(lǐng),提升企業(yè)核心競爭力 堅(jiān)持高質(zhì)量發(fā)展策略,塑強(qiáng)核心競爭優(yōu)勢...

關(guān)鍵字: 通信 BSP 電信運(yùn)營商 數(shù)字經(jīng)濟(jì)

北京2024年8月27日 /美通社/ -- 8月21日,由中央廣播電視總臺與中國電影電視技術(shù)學(xué)會聯(lián)合牽頭組建的NVI技術(shù)創(chuàng)新聯(lián)盟在BIRTV2024超高清全產(chǎn)業(yè)鏈發(fā)展研討會上宣布正式成立。 活動現(xiàn)場 NVI技術(shù)創(chuàng)新聯(lián)...

關(guān)鍵字: VI 傳輸協(xié)議 音頻 BSP

北京2024年8月27日 /美通社/ -- 在8月23日舉辦的2024年長三角生態(tài)綠色一體化發(fā)展示范區(qū)聯(lián)合招商會上,軟通動力信息技術(shù)(集團(tuán))股份有限公司(以下簡稱"軟通動力")與長三角投資(上海)有限...

關(guān)鍵字: BSP 信息技術(shù)
關(guān)閉
關(guān)閉