网络安全的7种攻击类型
来源:互联网 发布:年轻人社交软件 编辑:程序博客网 时间:2024/05/07 13:03
SQL Injection:(SQL注入)
SQL注入是最常见的攻击方式,它的主要原理是:攻击者通过改变WEB页的参数(如GET/POST数据或是URLS)直接将SQL片断提交到服务器,并在服务器端执行。
Cross-Site Scripting (XSS):(跨站点脚本攻击)
XSS定义:由于WEB程序没有对用户提交的HTML内容进行适当的转译,这样攻击者就可能在你的WEB页中插入一些HTML语句,这些语句通常以<SCRITP>TAG的形式出现。攻击者通常使用XSS攻击来窃取COOKIES 和SESSION信息,或是欺骗用户将隐私信息暴露给错误对象(又称为钓鱼)。
Cross-Site Request Forgery:(跨站点请求伪造)
CSRF:通过在WEB页或在给用户发邮件中插入恶意代码(通常是链接或是脚本),比如发送一个带有银行取款链接的图片或脚本(通常是HTML或javascript),当用户访问这个图片时,此时页面加载图片过程会隐密地链接到一个远程页面,这个页面会自动向目标站点发起请求,如果这个目标站点仍保留这个用户的COOKIE信息,并且这个COOKIER未过期,那么攻击者就可以在用户不知情的情况以用户的身份登录银行或执行取款操作。CSRF的特性就是利用网站对用户标识的信任,欺骗用户的浏览器发送HTTP请求给目标站点。
Session Forging/Hijacking:(Session 伪造/篡改)
Session 伪造/篡改能通过好几种方法对用户的session信息进行攻击,包括:
man-in-the-middle攻击:攻击者在各种有线(无线)网之间畅游的时候窥探用户的session资料。
session 伪造:攻击者用(可能是man-in-the-middle得来的)session资料来伪装成另一用户。
cookie 伪造:攻击者重写cookie中可能是只读的数据。
Session 篡改:攻击者诱导用户设置或者重置自己的session ID。
Session 毒害:攻击者在用户以web形式提交session信息的时候往用户的session资料中注入危险信息。
Email Header Injection:(邮件标题注入)
邮件标题注入和SQL注入的原理类似,通过在EMAIL的SUBJECT中输入一些特殊语句如”\n”,攻击者可以利用这个缺陷通过你的邮件服务器发送垃圾邮件。
Directory Traversal:(目录遍历)
目录遍历是另一种注入类型的攻击,攻击者欺骗文件系统读写服务器不允许操作的文件。
Exposed Error Messages:(曝露错误信息)
开发过程中,如果可以看到错误或历史记录对FIX问题是非常有用的。但是如果这些错误信息被攻击者所获取,那么攻击者就可以通过错误信息而了解到应用程序代码或是数据库或是配置等方面的内容,从而为其攻击提供有力的帮助。
SQL注入是最常见的攻击方式,它的主要原理是:攻击者通过改变WEB页的参数(如GET/POST数据或是URLS)直接将SQL片断提交到服务器,并在服务器端执行。
Cross-Site Scripting (XSS):(跨站点脚本攻击)
XSS定义:由于WEB程序没有对用户提交的HTML内容进行适当的转译,这样攻击者就可能在你的WEB页中插入一些HTML语句,这些语句通常以<SCRITP>TAG的形式出现。攻击者通常使用XSS攻击来窃取COOKIES 和SESSION信息,或是欺骗用户将隐私信息暴露给错误对象(又称为钓鱼)。
Cross-Site Request Forgery:(跨站点请求伪造)
CSRF:通过在WEB页或在给用户发邮件中插入恶意代码(通常是链接或是脚本),比如发送一个带有银行取款链接的图片或脚本(通常是HTML或javascript),当用户访问这个图片时,此时页面加载图片过程会隐密地链接到一个远程页面,这个页面会自动向目标站点发起请求,如果这个目标站点仍保留这个用户的COOKIE信息,并且这个COOKIER未过期,那么攻击者就可以在用户不知情的情况以用户的身份登录银行或执行取款操作。CSRF的特性就是利用网站对用户标识的信任,欺骗用户的浏览器发送HTTP请求给目标站点。
Session Forging/Hijacking:(Session 伪造/篡改)
Session 伪造/篡改能通过好几种方法对用户的session信息进行攻击,包括:
man-in-the-middle攻击:攻击者在各种有线(无线)网之间畅游的时候窥探用户的session资料。
session 伪造:攻击者用(可能是man-in-the-middle得来的)session资料来伪装成另一用户。
cookie 伪造:攻击者重写cookie中可能是只读的数据。
Session 篡改:攻击者诱导用户设置或者重置自己的session ID。
Session 毒害:攻击者在用户以web形式提交session信息的时候往用户的session资料中注入危险信息。
Email Header Injection:(邮件标题注入)
邮件标题注入和SQL注入的原理类似,通过在EMAIL的SUBJECT中输入一些特殊语句如”\n”,攻击者可以利用这个缺陷通过你的邮件服务器发送垃圾邮件。
Directory Traversal:(目录遍历)
目录遍历是另一种注入类型的攻击,攻击者欺骗文件系统读写服务器不允许操作的文件。
Exposed Error Messages:(曝露错误信息)
开发过程中,如果可以看到错误或历史记录对FIX问题是非常有用的。但是如果这些错误信息被攻击者所获取,那么攻击者就可以通过错误信息而了解到应用程序代码或是数据库或是配置等方面的内容,从而为其攻击提供有力的帮助。
0 0
- 网络安全的7种攻击类型
- 网络安全之_XSS攻击
- 网络安全笔记--Ddos攻击
- 网络安全------网络攻击分类
- 网络安全:互联网的巨大威胁— ICMP洪水攻击浅析
- 网络安全新举措 对DDOS攻击的防御措施
- 确保网络安全 避免DDoS攻击的几个方法
- 谈谈网络安全的ARP攻击防护以及工具分享
- 学习网络安全攻击技术的几本书籍推荐
- 【网络安全】网络安全攻防 -- 黑客攻击简要流程
- DoS网络攻击的类型
- 网络常见的攻击类型
- 常见的网络攻击类型
- 常见的网络攻击类型
- 无线网络安全和攻击现状
- 网络安全攻防之IPC$攻击
- 【网络安全】SSLSplit中间人攻击实例
- 【网络安全】SSLSplit实现中间人攻击
- linux man 命令查询系统函数
- (图解)用grub4dos安装Windows7、Ubuntu 12.10双系统
- 网上投简历的真正内幕及技巧!
- 好的软件人员一生必看的六十本书
- android 之popupWindow 在指定位置上的显示
- 网络安全的7种攻击类型
- GPDB管理员笔记(一)数据库对象
- SVN 基本操作
- java.sql 包的应用
- 博客分类小整改
- 多点触控缩放字体,附源码
- Hibernate实战_笔记11(EJB容器JBoss)
- 浅谈测试需求分析
- java使用smb读取共享文件夹