Web的攻击技术
- 互联网上的攻击大都将Web站点作为为目标,介绍攻击Web站点的手段和后果
【1】针对Web的攻击
- HTTP协议本身不存在安全问题,不会成为攻击对象。应用HTTP协议的服务器和客户端,以及运行在服务器上的Web应用资源才是目标
- 目前互联网上的攻击大多数都是冲着Web站点来的
【2】HTTP不具备必要的安全功能
- 现今的所有的Web网站都会使用会话(Session)管理、加密处理等安全性方面的功能,而HTTP不具备这些功能,HTTP在安全性方面的劣势较大
【3】在客户端即可篡改请求
- 在HTTP请求报文内加载攻击代码,就能够发起对Web应用的攻击
【4】针对Web应用的攻击模式
- 主动攻击(active attack):攻击者直接访问Web应用,将攻击代码传入服务器
(1)SQL注入攻击
(2)OS命令注入攻击
- 被动攻击(passive attack):利用圈套策略执行攻击代码,攻击者不直接对目标Web应用访问发起攻击,而是通过用户端
(1)跨站脚本攻击
(2)跨站点请求伪造
步骤:
(1)诱导用户触发已设置好的陷阱,陷阱会自动发送已嵌入好的攻击代码的HTTP请求
(2)中招之后,Browser会把请求发送到目标server
(3)server运行攻击代码后,存在安全漏洞的Web应用会成为攻击者的跳板,可能导致用户所持的Cookie等个人信息被窃取
【5】利用用户的身份攻击企业的内部网络
- 利用被动攻击实现对企业内部网络的攻击
- 对Web应用程序的安全对策大致可分为2个部分:
(1)客户端验证
(2)Web服务器端即应用端验证:输入值验证和输出值转义
(1)多数情况下采用Javascript在客户端验证数据,但不适合作为安全防范的对策。保留客户端只是为了今早的辨识输入错误,起到提高UI体验的作用
(2)Web应用端的输入值验证有可能被误认为是具有攻击意义的代码。输入值验证通常指:检查是否是符合系统业务逻辑的数值或者检查字符编码等预防对策
(3)从数据库、文件系统、HTML、邮件等输出Web应用处理的数据之际,针对输出的值转义处理是一项至关重要的安全策略
