針對web應用的攻擊模式 主動攻擊,攻擊者通過直接訪問web資源把攻擊代碼傳入的攻擊模式,需要攻擊者能夠訪問伺服器上的資源,常見有SQL註入攻擊和OS命令註入攻擊; 被動攻擊,利用圈套策略執行攻擊代碼的模式,攻擊者不直接攻擊web應用,常見有XSS和CSRF; SQL註入 把SQL命令插入到表單提交 ...
針對web應用的攻擊模式
- 主動攻擊,攻擊者通過直接訪問web資源把攻擊代碼傳入的攻擊模式,需要攻擊者能夠訪問伺服器上的資源,常見有SQL註入攻擊和OS命令註入攻擊;
- 被動攻擊,利用圈套策略執行攻擊代碼的模式,攻擊者不直接攻擊web應用,常見有XSS和CSRF;
SQL註入
- 把SQL命令插入到表單提交或輸入功能變數名稱或頁面請求的查詢字元串,最終達到欺騙伺服器執行惡意的SQL命令;
- 產生原因:不當的類型處理;不安全的資料庫配置;不合理的查詢集處理;不當的錯誤處理;轉義字元處理不合適;多個提交處理不當;
- 預防:
對用戶輸入進行校驗;
不要使用動態拼裝sql,可以使用參數化的sql或者直接使用存儲過程進行數據查詢存取;
不要把機密信息直接存放,加密或者hash掉密碼和敏感的信息;
對於異常信息,最好使用自定義的錯誤信息對原始錯誤信息進行包裝;
OS命令註入攻擊
- 執行非法操作系統命令達到攻擊目的,只要在能調用shell的地方就存在風險;系統提供命令執行類函數主要方便處理相關應用場景的功能;
- 預防:客戶端服務端都過濾;執行命令的參數不要使用外部獲取,防止用戶構造;
XSS(跨站腳本攻擊)
- 指通過存在安全漏洞的web網站註冊用戶的瀏覽器內運行非法的html標簽或js代碼進行的一種攻擊;
- XSS是攻擊者利用預先設置的陷阱觸發的被動攻擊;除了在表單中嵌入html或js外,還可能對用戶cookie進行竊取攻擊;
- 預防:過濾用戶輸入;編碼轉義用戶輸出;設置cookie為httponly;白名單;
CSRF(跨站請求偽造)
- 指攻擊者通過設置好的陷阱,強制對已完成認證的用戶進行非預期的個人信息或設定信息等某種狀態更新,屬於被動攻擊;
- 常見途徑通過get請求,通過XSS獲取cookie進行攻擊;
- 預防:資源操作請求最好用post方式;檢查referer頭部;驗證碼;請求時帶上服務端生成token,判斷是否一致;
