匿名网友
Web安全风险都包含哪些类型?
Web攻击风险主要包括攻击、泄密和可用性风险,详细如下:
Web攻击风险
网页篡改、SQL注入、跨站脚本
Web泄密风险
敏感数据泄密
Web可用性风险
DDOS攻击
最常见的WEB安全威胁都有哪些?
1.跨站脚本漏洞Web应用程序直接将来自使用者的执行请求送回浏览器执行,使得攻击者可获取使用者的Cookie或Session信息而直接以使用者身份登陆
2.注入类问题Web应用程序执行在将用户输入变为命令或查询语句的一部分时没有做过滤,SQL 注入, 命令注入等攻击包括在内
3.任意文件执行Web应用程序引入来自外部的恶意文件并执行
4.不安全的对象直接引用攻击者利用Web应用程序本身的文件操作功能读取系统上任意文件或重要资料
5.跨站请求截断攻击已登入Web应用程序的合法使用者执行恶意的HTTP指令,但Web应用程式却当成合法需求处理,使得恶意指令被正常执行
6.信息泄露Web应用程序的执行错误信息中包含敏感资料,可能包括系统文件路径,内部IP地址等
7.用户验证和Session管理缺陷Web应用程序中自行撰写的身份验证相关功能有缺陷
8.不安全的加密存储Web应用程序没有对敏感性资料使用加密、使用较弱的加密演算法或将密钥储存于容易被获取之处
9.不安全的通信Web应用经常在需要传输敏感信息时没有使用加密协议
10.没有对URL路径进行限制某些网页因为没有权限控制,使得攻击者可透过网址直接存取
介绍一下Sql注入及其危害?
所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。通过递交参数构造巧妙的SQL语句,从而成功获取想要的数据。
分为字符型注入和数字型的注入,由于编程语言不同,所存在的注入类型也不同。
危害:
–非法查询其他数据库资源,如管理员帐号。
–执行系统命令
–获取服务器root权限
介绍一下跨站脚本及其危害?
跨站脚本攻击(通常简写为XSS)是指攻者利用网站程序对用户输入过滤不足,输入可以显示在页面上对其他用户造成影响的HTML代码,从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。
危害:
——盗取用户cookie
——Xss蠕虫
——挂马,结合xss蠕虫,危害巨大。
介绍一下分布式拒绝攻击(DDOS)及其危害?
分布式拒绝服务攻击使用与普通的拒绝服务攻击同样的方法,但是发起攻击的源是多个。通常,攻击者使用下载的工具渗透无保护的主机,当获得该主机的适当的访问权限后,攻击者在主机中安装软件的服务或进程(以下简称代理)。这些代理保持睡眠状态,直到从它们的主控端得到指令。主控端命令代理对指定的目标发起拒绝服务攻击。
分布式拒绝服务攻击是指主控端理由僵尸机器同时对一个目标发起几千个攻击。单个的拒绝服务攻击的威力也许对带宽较宽的站点没有影响,而分布于全球的几千个攻击将会产生致命的效果。
