• 正好彩票网官网

  • 正好彩票网官网

  • 正好彩票网官网

  • 正好彩票网官网

正好彩票网官网

作者︰  發布日(ri)期︰2020-02-20 06:09:58
Tag標簽︰筆記  
  • 圖解HTTP讀書筆記(十)

    正好彩票网官网

    HTTP協議本身並(bing)不存在安全性問題(ti),因此協議本身幾乎不會(hui)成為攻擊(ji)對象(xiang)。應(ying)用HTTP協議的服務器和客(ke)tu)?耍 約霸誦性詵衿魃shang)xi)eb應(ying)用資源才是攻擊(ji)目標。

    在客(ke)tu)?思純(chun)紗鄹那(na)肭/strong>

    在Web應(ying)用中,從瀏覽器那(na)接收到的HTTP請求的全部內容,都(du)可(ke)以在客(ke)tu)?俗雜傻謀bian)更、篡改。

    在HTTP請求報文內加載攻擊(ji)代碼,就(jiu)能發起對Web應(ying)用的攻擊(ji)。通過URL查詢字(zi)段或表單(dan)、HTTP首部,Cookie等途徑把攻擊(ji)代碼傳入,若這時Web應(ying)用存在安全漏洞,那(na)內部信息就(jiu)tu)hui)遭到竊取,或被(bei)攻擊(ji)者拿到權限管理。

    image

    針對Web應(ying)用的攻擊(ji)模式

    對Web應(ying)用的攻擊(ji)模式有以下(xia)兩(liang)種。

    主動攻擊(ji) 被(bei)huan) ?ji)
    以服務器為目標的主動攻擊(ji)

    主動攻擊(ji)︰是指攻擊(ji)者通過直接訪(fang)問Web應(ying)用,把攻擊(ji)代碼傳入的攻擊(ji)模式。

    由于該模式是直接針對服務器上(shang)xi)淖試唇泄(xie)?ji),因此攻擊(ji)者需要(yao)能夠(gou)訪(fang)問到那(na)些資源。

    主動攻擊(ji)模式里具有代表性的攻擊(ji)是SQL注入攻擊(ji)和OS命令注入攻擊(ji)。

    image

    以服務器為目標的被(bei)huan) ?ji)

    被(bei)huan) ?ji)︰是指利(li)用圈套策略執行xie)?ji)代碼的攻擊(ji)模式。在被(bei)huan) ?ji)過程中,攻擊(ji)者不直接對yue)勘eb應(ying)用訪(fang)問發起攻擊(ji)。

    被(bei)huan) ?ji)通常的攻擊(ji)模式︰
    - 步(bu)驟1

    攻擊(ji)者誘使用戶(hu)觸(chu)發已設置好的陷阱,而陷阱會(hui)啟動發送已嵌du)牘?ji)的HTTP請求。

    步(bu)驟2

    當用戶(hu)不知(zhi)不覺中招(zhao)後(hou),用戶(hu)的瀏覽器或郵件客(ke)tu)?司jiu)tu)hui)觸(chu)發這個陷阱。

    步(bu)驟3

    中招(zhao)後(hou)的用戶(hu)瀏覽器會(hui)把含有xie)?ji)代碼的HTTP請求發送給作為攻擊(ji)目標的Web應(ying)用,運行xie)?ji)代碼。

    步(bu)驟4

    執行完攻擊(ji)代碼,存在安全漏洞的Web應(ying)用會(hui)成為攻擊(ji)者的跳板,可(ke)能會(hui)導致用戶(hu)所(suo)持的Cookie等個人信息被(bei)竊取,登錄狀態中用戶(hu)權限遭惡意濫(lan)用等後(hou)果。

    image

    被(bei)huan) ?ji)模式中具有代表性的攻擊(ji)是跨(kua)站(zhan)腳本攻擊(ji)跨(kua)站(zhan)點請求偽造


    實施Web應(ying)用的安全對策

    實施Web應(ying)用的安全對策大致lu)治 liang)部分(fen)

    客(ke)tu)?搜櫓服務端驗證
    輸入值驗證 輸出值轉(zhuan)義

    image

    客(ke)tu)?搜櫓?俏 司jin)早的識別輸入錯誤,Web端的輸入值驗證通常是檢查是否是符合業務邏輯,或檢查字(zi)符編(bian)碼等預防對策。輸出轉(zhuan)義是很(hen)關鍵的安全策略,當輸出值轉(zhuan)義不完全時,會(hui)因觸(chu)發攻擊(ji)者傳入的攻擊(ji)代碼,而給輸出對象(xiang)帶來(lai)損害。


    跨(kua)站(zhan)腳本攻擊(ji)

    跨(kua)站(zhan)腳本攻擊(ji)(Cross-Site Scripting,XSS)是指利(li)用網站(zhan)漏洞從用戶(hu)那(na)里惡意盜(dao)取信息。

    動態創建的HTML部分(fen)有可(ke)能隱(yin)藏(cang)著安全漏洞。就(jiu)這樣,攻擊(ji)者編(bian)寫腳本設下(xia)陷阱,用戶(hu)在自己的瀏覽器上(shang)運行時,一不小心就(jiu)tu)hui)受到被(bei)huan) ?ji)。

    跨(kua)站(zhan)腳本攻擊(ji)可(ke)能造成的影響

    利(li)用虛假輸入表單(dan)騙取用戶(hu)個人信息。 利(li)用腳本竊取用戶(hu)的Cookie值,被(bei)害者在不知(zhi)情(qing)的na)榭魷xia),幫助攻擊(ji)者發送惡意請求。 顯示偽造的文章或圖片。
    SQL注入攻擊(ji)

    SQL注入(SQL Injection)︰是指gang)?eb應(ying)用使用的數據(ju)庫,通過運行非(fei)法的SQL而產生的攻擊(ji)。

    該安全隱(yin)患有可(ke)能引發極(ji)大的威脅,有時bei)hui)直接導致個人信息及機密信息的泄(xie)露。

    SQL注入攻擊(ji)有可(ke)能會(hui)造成以下(xia)等影響。

    非(fei)法查看(kan)或篡改數據(ju)庫內的數據(ju) 規(gui)避認證 執行和數據(ju)庫服務器關聯的程序等

    例如︰
    正確(que)的SQL語句︰

    select * from table_name where name='jack'and age>20;

    SQL注入語句︰(將剛(gang)才的name=’jack’改為name=’jack–’,語句如下(xia)︰)

    select * from table_name where name='jack'--' age>20;

    SQL語句中的–之(zhi)後(hou)全視為注釋(shi),即後(hou)面xian)墓頌跫hui)自動的忽略。這樣會(hui)對數據(ju)庫的增刪改查有很(hen)大影響。


    OS命令注入攻擊(ji)

    OS命令注入攻擊(ji)(OS Command Injection)是指通過Web應(ying)用,執行非(fei)法的操作系(xi)統達到攻擊(ji)的目的。只(zhi)要(yao)在能調(diao)用Shell函數的地方就(jiu)有存在被(bei)攻擊(ji)的風險(xian)。

    可(ke)以從Web應(ying)用中通過Shell來(lai)調(diao)用操作系(xi)統命令。倘(thang)若調(diao)用Shell時存在疏漏,就(jiu)可(ke)以執行插(cha)入的非(fei)法OS命令。

    OS命令注入攻擊(ji)可(ke)以向Shell發送命令,讓Window或Linux操作系(xi)統的命令行啟動程序。也(ye)就(jiu)是說,通過OS注入攻擊(ji)可(ke)執行OS上(shang)xi)滄zhuang)著的各種程序。


    HTTP首部注入攻擊(ji)

    HTTP首部注入攻擊(ji)(HTTP Header Injection):是指攻擊(ji)者通過在響應(ying)首部字(zi)段內插(cha)入換行,添(tian)加任意響應(ying)首部或主體的一種攻擊(ji)。屬(shu)于被(bei)huan) 焦?ji)模式。

    HTTP首部注入攻擊(ji)可(ke)能會(hui)造成以下(xia)影響︰
    - 設置任何的Cookie
    - 重(zhong)定向至任意URL
    - 顯示任意的主體(HTTP響應(ying)式截斷攻擊(ji))

    通過%0D%0A(表示HTTP報文中換行符),在HTTP請求頭fen)械囊桓鱟zi)段中,如Location:xxx…/?index=1%0D%0ASet-Cookie:123456789。
    因為%0D%0A表示換行,這樣就(jiu)tu)hui)在HTTP請求頭fen)卸鍆獾腦偌由shang)一個頭信息。這樣攻擊(ji)者就(jiu)可(ke)以偽裝(zhuang)成用戶(hu)。


    HTTP響應(ying)式截斷攻擊(ji)

    HTTP響應(ying)式截斷攻擊(ji)是用在HTTP首部注入的一中xie)?ji)。

    如果我們在響應(ying)頭fen)械耐凡孔zi)段中將兩(liang)個%0d%0A%0D%0A並(bing)排插(cha)入字(zi)符串後(hou)發送。這樣就(jiu)tu)行,就(jiu)可(ke)作為HTTP首部與(yu)主體部分(fen)分(fen)隔(ge)所(suo)需的空zhao)辛恕U庋jiu)可(ke)以偽造主體,達到攻擊(ji)的目的。

    利(li)用這個攻擊(ji),已觸(chu)發陷阱的瀏覽器會(hui)顯示偽造的Web頁面,再讓用戶(hu)輸入自己的信息,達到和跨(kua)站(zhan)腳本攻擊(ji)相同的效果。


    郵箱首部注入攻擊(ji)

    郵箱首部注入(Mail Header Injextion):是指Web應(ying)用中的郵件發送功能,攻擊(ji)者通過向郵件首部To或Subject內任意添(tian)加非(fei)法內容發起的攻擊(ji)。

    利(li)用存在安全漏洞的Web網站(zhan),可(ke)對任意郵件地址發送廣告郵件或病(bing)毒郵件。

    %0D%0A在郵件報文中代表換行符。與(yu)HTTP首部注入和HTTP響應(ying)式截斷相似。

    eg:
    在發送郵件的報文首部這樣

    xxxxx%0D%0ABcc:user@example.com

    就(jiu)tu)hui)換行,對Bcc郵件地址追加發送

    eg:
    如果這樣

    xxxxxx%0D%0A%0D%0ATest Message

    就(jiu)相當于換2行,就(jiu)有可(ke)能篡改郵件文本內容並(bing)發送。

    再以相同的方法,就(jiu)有可(ke)能改寫To和Subject等re)我庥始撞浚 蛘呦蛭謀咎tian)加附件等動作


    目錄遍歷(li)攻擊(ji)

    目錄遍歷(li)(Directory Traversal):攻擊(ji)是指對本無意公開的文件目錄,通過非(fei)法截斷其(qi)目錄路(lu)徑後(hou),達成訪(fang)問目的的一種攻擊(ji)。

    這種攻擊(ji)有時也(ye)稱(chen)為路(lu)徑遍歷(li)(Path Traversal)攻擊(ji)。

    目錄遍歷(li)詳解


    遠程文件包含漏洞

    遠程文件包含漏洞(Remote File Inclusion):是指部分(fen)腳本內容需要(yao)從其(qi)他文件讀入時,攻擊(ji)者利(li)用指定外部服務器的URL充當依賴文件,讓腳本讀取之(zhi)後(hou),就(jiu)可(ke)以運行任意腳本攻擊(ji)。

    這主要(yao)是PHP存在的安全漏洞,對PHP的include或require來(lai)說,這是一種可(ke)通過設定,指定外部服務器的UR作為文件名(ming)的功能。但該功能太危險(xian),PHP5.2.0之(zhi)後(hou)默認設定此功能無效。


    強制qi) /h5>

    強制qi) Forced Browsing)是指,從安置在Web服務器的公開目錄下(xia)的文件中,瀏覽lan)切┬yuan)本非(fei)自願公開的文件。

    強制qi) 烙鋅ke)能會(hui)造成以下(xia)一些影響。

    泄(xie)露顧客(ke)的個人信息等重(zhong)要(yao)情(qing)報 泄(xie)露原(yuan)本需要(yao)具有訪(fang)問權限的用戶(hu)才可(ke)查閱(yue)的信息內容 泄(xie)露未外連到外界的文件

    強制qi) 賴募鋼中xing)式︰

    文件目錄一覽

    通過指定目錄名(ming)稱(chen),即chun)稍諼募煥樂鋅kan)到顯示的文件名(ming)稱(chen)。

    eg: http://www.example.com/log/

    推測文件名(ming)及目錄名(ming)

    文件名(ming)稱(chen)容易被(bei)推測。

    http://www.example.com/entry/entry_081202.log
    備份文件
    http://www.example.com/cgi-bin/entry.cgi(原(yuan)始文件)http://www.example.com/cgi-bin/entry.cgi~(備份文件)http://www.wxample.com/cgi-bin/entry.bak(備份文件)

    由編(bian)輯軟件自動生成的備份文件無執行權限,有可(ke)能直接以源代碼形(xing)式顯示jin)/p>

    經認證才可(ke)顯示的文件

    直接通過URL訪(fang)問原(yuan)本必須經過認證才能在web頁面上(shang)使用的文件(HTML文件,圖片,PDF等文檔(dang),CSS及其(qi)他數據(ju))。


    不正確(que)的錯誤消息處理

    不正確(que)的錯誤消息處理(Error Handing Vulnerability)的安全漏洞是指,Web應(ying)用的錯誤信息內包含對攻擊(ji)者有用的信息。

    與(yu)Web應(ying)用有xie)氐鬧饕yao)錯誤信息︰

    Web應(ying)用拋出的錯誤消息 數據(ju)庫等系(xi)統拋出的錯誤信息

    Web應(ying)用不必在用戶(hu)的瀏覽畫面上(shang)展示詳細的錯誤信息。對攻擊(ji)者來(lai)說,詳細的錯誤信息可(ke)能給他們攻擊(ji)作為提示jin)/p>


    開放重(zhong)定向

    開放重(zhong)定向(Open Redirect)是一種對指定的任意URL作重(zhong)定向跳轉(zhuan)的功能。

    而于此功能相關聯的安全漏洞是指,假如指定的重(zhong)定向URL到某個具有惡意的Web網站(zhan),那(na)麼用戶(hu)就(jiu)tu)hui)被(bei)誘導至那(na)個Web網站(zhan)。

    eg:

    這是一個URL發生重(zhong)定向跳轉(zhuan)的正常請求

    http://example.com/?redirect=http://tricorder.jp

    但,如果攻擊(ji)者知(zhi)道,redirect後(hou)面xian)牧 踴懷繕柚煤玫南葳eb網站(zhan)連接。如︰

    http://example.com/?redirect=http://hackr.jp

    這樣就(jiu)tu)hui)指向hackr.jp。

    如果可(ke)信度(du)高(gao)的Web網站(zhan),開放重(zhong)定向功能,則很(hen)可(ke)能被(bei)攻擊(ji)者選中並(bing)用來(lai)作為釣魚攻擊(ji)的跳板。


    因會(hui)話(hua)管理疏忽引發的安全漏洞

    會(hui)話(hua)管理是用來(lai)管理用戶(hu)狀態的必備功能,但是如果在會(hui)話(hua)管理上(shang)有所(suo)疏忽,就(jiu)tu)hui)導致用戶(hu)的認證狀態被(bei)竊取等後(hou)果。

    會(hui)話(hua)劫持

    會(hui)話(hua)劫持(Session Hijack)︰是指攻擊(ji)者通過某種手(shou)段拿到了用戶(hu)的會(hui)話(hua)ID,並(bing)非(fei)法使用此會(hui)話(hua)ID偽裝(zhuang)成用戶(hu),達到攻擊(ji)的目的。

    下(xia)面列(lie)舉(ju)了幾種攻擊(ji)者可(ke)獲得會(hui)話(hua)ID的途徑︰
    - 通過非(fei)正規(gui)xian)納煞椒ㄍ撇食hui)話(hua)ID
    - 通過竊听(ting)或XSS攻擊(ji)盜(dao)取會(hui)話(hua)ID
    - 通過會(hui)話(hua)固定攻擊(ji)(Session Fixation)強行獲取會(hui)話(hua)ID

    image

    會(hui)話(hua)固定攻擊(ji)

    會(hui)話(hua)固定攻擊(ji)(Session Fixation)︰強制用戶(hu)使用直指定的會(hui)話(hua)ID,屬(shu)于被(bei)huan) ?ji)。

    image

    深入淺出Session攻擊(ji)方式之(zhi)一固定會(hui)話(hua)ID

    跨(kua)站(zhan)點請求偽造

    跨(kua)站(zhan)點請求偽造(Cross-Site Request Forgeries,CSRF)攻擊(ji)是指攻擊(ji)者通過設置好的陷阱,強制對已完成認證的用戶(hu)進行非(fei)預期的個人信息或設定信息等某些狀態更新,屬(shu)于被(bei)huan) ?ji)。

    跨(kua)站(zhan)點請求偽造可(ke)能會(hui)造成以下(xia)影響︰
    - 利(li)用已通過認證的用戶(hu)權限更新設定信息等
    - 利(li)用已通過認證的用戶(hu)權限購(gou)買(mai)商品
    - 利(li)用已通過認證的用戶(hu)權限在留言板上(shang)發表言論

    image


    其(qi)他安全漏洞

    密碼破解

    密碼破解攻擊(ji)(Password Cracking)即算(suan)出密碼,突(tu)破認證。

    密碼破解的2種手(shou)段
    - 通過網絡進行密碼試錯
    - 對加密密碼進行破解

    通過網絡進行密碼試錯

    主要(yao)有2種方式︰
    - 窮舉(ju)法
    - 字(zi)典攻擊(ji)

    窮舉(ju)法

    窮舉(ju)法又稱(chen)為暴力破解法,是指對所(suo)有密鑰集(ji)合構成密鑰空間,進行窮舉(ju)。

    如︰銀行密碼,000000-999999中的數字(zi)逐(zhu)一進行產生嘗試,就(jiu)可(ke)以試出真實密碼。(當然,只(zhi)能嘗試3次)

    字(zi)典攻擊(ji)

    字(zi)典攻擊(ji)是指利(li)用事先收集(ji)好的候選密碼(經過各種組合xi)絞膠hou)存入字(zi)典),枚舉(ju)字(zi)典中的密碼,嘗試通過認證的一種攻擊(ji)手(shou)法。

    如︰有些人喜歡(huan)用生日(ri)作為密碼,可(ke)以將生日(ri)日(ri)期數值話(hua),0101-1231保存為字(zi)典,進行嘗試。

    字(zi)典攻擊(ji)與(yu)窮舉(ju)法相比,需要(yao)嘗試的候選密碼較少,攻擊(ji)耗費(fei)的時間較短;當然字(zi)典中如果沒有正確(que)密碼,就(jiu)無法破解,但是窮舉(ju)法必定會(hui)找到一個正確(que)的密碼


    對已加密密碼的破解

    Web應(ying)用在保存密碼時,一hua)悴換hui)直接以明文的方式保存,通過散列(lie)做處理或salt(加鹽)處理。如果想(xiang)獲取密碼,就(jiu)需要(yao)解密成明文形(xing)式。

    從加密過的數據(ju)中導入明文通常有以下(xia)幾種方法︰

    通過窮舉(ju)法·字(zi)典攻擊(ji)進行類(lei)推 彩虹(hong)表 拿到密鑰 加密算(suan)法的漏洞

    通過窮舉(ju)法·字(zi)典攻擊(ji)進行類(lei)推

    如︰破解MD5值。通過對大量的字(zi)符串進行MD5算(suan)法處理,然huan)hou)一一匹(pi)配是否相等。

    彩虹(hong)表
    彩虹(hong)表︰是由明文密碼及與(yu)之(zhi)對應(ying)的散列(lie)值構成的一張數據(ju)表,是一種事先制作龐大的彩虹(hong)表,可(ke)在窮舉(ju)法·字(zi)典攻擊(ji)等實際破解過程中縮短消耗時間的技巧。

    image

    拿到密鑰
    拿到密鑰,破解密碼。

    加密算(suan)法的漏洞
    考慮算(suan)法漏洞,利(li)用漏洞嘗試解密。(困難太大,不易成功)

    點擊(ji)劫持

    點擊(ji)劫持(Click jacking):是指利(li)用透明的按鈕(niu)或鏈接做成shang)葳澹 哺竊eb頁面上(shang)。然huan)hou)誘使用戶(hu)在不知(zhi)情(qing)的na)榭魷xia),點擊(ji)按鈕(niu),訪(fang)問鏈接。這種行xing) 殖chen)為界面偽裝(zhuang)(UIRedressing)。

    Dos攻擊(ji)

    Dos攻擊(ji)(Denial of Service attack):是一種讓運行中的服務呈shi)V棺刺 墓?ji)。有時也(ye)bu)凶齜褳V構?ji)或拒絕服務攻擊(ji)。

    Dos攻擊(ji)的兩(liang)種攻擊(ji)方式︰
    - 集(ji)中利(li)用訪(fang)問請求造成資源過載,資源用盡(jin)的同時,實際上(shang)服務也(ye)就(jiu)呈shi)V棺刺 br />- 通過攻擊(ji)安全漏洞使服務頭停止。

    其(qi)中,集(ji)中利(li)用訪(fang)問請求的Dos攻擊(ji),單(dan)純(chun)來(lai)講就(jiu)是發送大量的合xi)ㄇ肭蟆7衿骱hen)難分(fen)辨(bian)何為正常請求,何為攻擊(ji)請求,因此很(hen)難防止Dos攻擊(ji)。

    多(duo)台(tai)計算(suan)機發起的Dos攻擊(ji)稱(chen)為DDos攻擊(ji)(Distributed Denial of Service attack)

    DDos攻擊(ji)通常利(li)用那(na)些感(gan)染病(bing)毒的計算(suan)機作為攻擊(ji)者的攻擊(ji)跳板。

    後(hou)門程序

    後(hou)門程序(Backdoor):是指開發設置的隱(yin)藏(cang)入口,可(ke)不hua)床徽2bu)驟使用受限功能。利(li)用後(hou)門程序就(jiu)能使用原(yuan)本受限制的功能。

    通常的後(hou)門程序分(fen)為以下(xia)3中類(lei)型︰
    - 開發階段作為Debug調(diao)用的後(hou)門程序
    - 開發者為了自身利(li)益置入的後(hou)門程序
    - 攻擊(ji)者通過某種方法設置的後(hou)門程序

    可(ke)通過監听(ting)進程和通信的狀態發現被(bei)植入的後(hou)門程序。但設定在Web應(ying)用中的後(hou)門程序,由于和正常使用時區別不大,通常很(hen)難發現。

正好彩票网官网

About IT165 -廣告服務 -隱(yin)私聲明 -版權申明 -免(mian)責條款 -網站(zhan)地圖 -網友投稿 -聯系(xi)方式
本站(zhan)內容來(lai)自于互聯網,僅供用于網絡技術學(xue)習(xi),學(xue)習(xi)中請遵循相關法律法規(gui)
正好彩票网官网 | 下一页