當(dāng)前位置:首頁 >  IDC >  安全 >  正文

網(wǎng)站安全防護滲透測試常見的攻擊方法

 2021-07-13 15:00  來源: A5用戶投稿   我來投稿 撤稿糾錯

  域名預(yù)訂/競價,好“米”不錯過

國內(nèi)對滲透測試以及安全評估的研究起步較晚,并且大多集中在在滲透測試技術(shù)上的研究,安全評估方面也有部分企業(yè)和研宄團體具有系統(tǒng)的評估方式。然而國內(nèi)對基于滲透測試的自動化集成系統(tǒng)研宄還非常少,從目前的網(wǎng)絡(luò)安全態(tài)勢來看,傳統(tǒng)的滲透測試方式己經(jīng)無法滿足現(xiàn)在網(wǎng)站對安全性能的要求,傳統(tǒng)的滲透測試技術(shù)和工具都還停留在運用單一滲透測試方法或是單種測試工具,無法全面檢測出網(wǎng)站系統(tǒng)存在的漏洞。

目前國內(nèi)外使用比較普遍的攻擊方法主要有三種:

(1)跨站腳本:一般縮寫為XSS。這個漏洞是由于攻擊者通過終端向應(yīng)用程序提交數(shù)據(jù),數(shù)據(jù)上傳至服務(wù)器的過程中沒有對提交的數(shù)據(jù)進行嚴(yán)格審核和檢查,導(dǎo)致正常用戶運行應(yīng)用程序時啟動了惡意攻擊者嵌入程序中的代碼,大量用戶被攻擊。攻擊者不僅可以竊取用戶和系統(tǒng)管理員的cookie,還可以進行掛馬操作,使更多的訪問用戶被惡意代碼攻擊。在如今網(wǎng)站各項技術(shù)非常普及的情況下,蠕蟲也有可能能利用跨站腳本存在的漏洞,對網(wǎng)站進行大規(guī)模攻擊,造成極大危害。

(2)SQL注入攻擊:這種攻擊是由于用戶在前端頁面輸入數(shù)據(jù)時,后臺程序沒有過濾輸入的特殊字符,異常數(shù)據(jù)直接和SQL語句組成正常的執(zhí)行語句去執(zhí)行,導(dǎo)致不需要密碼就能夠直接登陸,泄露網(wǎng)站的信息。因此攻擊者可以構(gòu)造隱蔽的SQL語句,當(dāng)后臺程序執(zhí)行語句時,攻擊者未經(jīng)系統(tǒng)和程序授權(quán)就能修改數(shù)據(jù),甚至在數(shù)據(jù)庫服務(wù)器上執(zhí)行系統(tǒng)命令,對網(wǎng)站的安全體系帶來嚴(yán)重威脅。這種漏洞的根本原因是,編程人員在編寫程序時,代碼邏輯性和嚴(yán)謹(jǐn)性不足,讓攻擊者有機可乘。早期的SQL查詢方式存在很大問題,使用了一種簡單的拼接的方式將前端傳入的字符拼接到SQL語句中?,F(xiàn)在通常采用傳參的方式避免SQL注入攻擊例如使用MYBAIIS框架替代早期對數(shù)據(jù)庫的增刪改查方式,因此,防止這種攻擊辦法的最好方式是完善代碼的嚴(yán)謹(jǐn)性,另一方面是對網(wǎng)站原有代碼重新梳理、編寫,以安全的方式執(zhí)行SQL語句查詢的執(zhí)行。

(3)URL篡改:對使用HTTP的get方法提交HTML表單的網(wǎng)站,表單中的參數(shù)以及參數(shù)值會在表單提交后,作為所訪問的URL地址的一部分被提交,攻擊者就可以直接對URL字符串進行編輯和修改,并且能在其中嵌入惡意數(shù)據(jù),然后,訪問這個被嵌入的惡意數(shù)據(jù),再反饋給WEB應(yīng)用程序。如果想要對網(wǎng)站或APP進行全面的滲透測試服務(wù)的話,可以向網(wǎng)站安全公司或滲透測試公司尋求服務(wù)。

申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!

相關(guān)標(biāo)簽
網(wǎng)站滲透測試
滲透測試

相關(guān)文章

  • 網(wǎng)站做漏洞滲透測試服務(wù)的重要性

    現(xiàn)實生活中小企業(yè)面對的網(wǎng)絡(luò)安全風(fēng)險多種多樣。而真正的隱患,是公司覺得自己自身非常安全,卻不知道隱患早就滲透到里面,見機行事。隨著安全產(chǎn)業(yè)的發(fā)展和技術(shù)人員安全防范意識的提升

  • 網(wǎng)站安全評估滲透測試手法分析

    互聯(lián)網(wǎng)的廣泛應(yīng)用不僅給用戶帶來了便利,也帶來了許多問題。近年來,出現(xiàn)了各種網(wǎng)站攻擊方法,也出現(xiàn)了許多相應(yīng)的網(wǎng)絡(luò)滲透測試和評估方法。為了提高網(wǎng)站的整體安全性,整合網(wǎng)絡(luò)滲透測試和評估具有重要的實際應(yīng)用價值。本文首先研究了滲透測試的主要技術(shù),總結(jié)了滲透測試的方法和特點。

  • 網(wǎng)站安全防護之常見漏洞有哪些

    文件包含漏洞。文件包含函數(shù)中包含的文件參數(shù)沒有過濾或嚴(yán)格定義,參數(shù)可以由用戶控制,可能包含意外文件。如果文件中存在惡意代碼,無論文件是什么后綴類型,文件中的惡意代碼都會被解析執(zhí)行,導(dǎo)致文件包含漏洞。

  • 網(wǎng)站滲透測試漏掃工具的另類用法

    對于第三方插件,我們在統(tǒng)一調(diào)度機制和庫文件上花了不少功夫,還有一個關(guān)鍵點就是轉(zhuǎn)換庫的格式。在各種插件的上報過程中,我們會盡量為第三方插件掛接數(shù)據(jù)上報層,統(tǒng)一格式后上報。但是,并不是每種插件都有一個統(tǒng)一的將記錄放入庫中的過程,可能需要為這種插件重寫函數(shù)。目前我們的插件都是點擊式的。為了符合法律法規(guī)層面

    標(biāo)簽:
    滲透測試
  • 網(wǎng)站安全滲透測試報告模板的一些經(jīng)驗總結(jié)

    理想情況下,您的滲透測試模板應(yīng)包括:通常測試的測試列表。有時候客戶會問這個,提前做好準(zhǔn)備。每種漏洞類型的結(jié)果和解決方案(XSS、CSRF、XXE……)報告的基本大綱(主要大綱和頁碼)我曾經(jīng)做過一個月的任務(wù),其中滲透測試的實際時間不超過一周。我們被要求寫、描述和重寫報告五六次。

熱門排行

信息推薦