1. WEB ***タイプ
WEBアプリケーションの場合、アクティブとパッシブに分けることができます***。
1.アクティブ***
アクティブとは直接WEBサーバーを指し、SQLインジェクションは一般的なアクティブです。
2.パッシブ***
モード1:純粋にパッシブ***
ユーザーは「疑わしいサイト」を閲覧した後、マルウェアに感染します。これは通常、Adobe Reader、Adobe Flash Player、JREなどのブラウザやプラグインの脆弱性が原因です。
モード2:通常のWebサイトにパッシブトラップを設定する***
作成者は事前にWebサイトを形式化し、ページのコンテンツに悪意のあるコードを埋め込みます。ユーザーが悪意のあるコードコンテンツを閲覧した後、ウイルスに感染している
モード3:クロスサイトパッシブ***
ユーザーは、公式Webサイトにログインしているユーザーアカウントを使用して実装します。標準:クロスサイトリクエスト偽造CSFF、クロスサイトXSS、HTTPメッセージヘッダーインジェクション
2.ブラウザのセキュリティ保護
機能1:ブラウザは、JavaScript、Java Applet、Adobe Flash Player、ActiveX、およびその他のプラグインを実行するときに2つのセキュリティメカニズムを提供します
- 署名の確認に
は、実行前にユーザーの確認が必要です。これは主に、ブラウザーにプラグイン機能を提供するために使用されます。 - サンドボックス
は、サンドボックス環境でのプログラムのアクセス許可を制限します。ローカルファイルへのアクセスを禁止し、プリンターリソースの使用を禁止し、ネットワークアクセスを制限します。
機能2:ホストが同じである場合、iframe内のHTMLコンテンツは、iframe外のJSを介して取得できます。(同じオリジンポリシー)
同じオリジンのホストは、次の条件を満たす必要があります。
- 完全修飾ドメイン名FQDN整合性
- 合意スキームは一貫している
- ポート番号は同じです
3.WEBアプリケーションの処理フロー
4、隠れた危険を注入する
WEBアプリケーションで送信される情報のほとんどは、HTML、HTTP、SQLなどのテキスト形式です。これらのテキスト形式は、文法形式とデータ部分で構成され、データ部分は引用符または区切り文字(commas、newlinesなど)で区別されます。実際には、テキスト構造は、「データ部分の境界」を表すために使用される引用符や区切り文字、およびその他の文字を挿入することによって変更されます。これにより、挿入の隠れた危険が生じます。
