常见的Web攻击分为两类: 一是利用Web服务器的漏洞进行攻击,如CGI缓冲区溢出,目录遍历漏洞利用等攻击; 二是利用网页自身的安全漏洞进行攻击,如SQL注人,跨站脚本攻击等。
缓冲区溢出一攻击者利用超出缓冲区大小的请求和构造的二进制代码让服务器执行谥出Cookie假冒一精心修改Cookie数据进行用户假冒。认证逃避一攻击者利用 不安全的证书和身份管理。 非法输人一在动态网页的输人中使用各种非法数据,获取服务器锹感数据。 对网页中的隐藏变量进行修改,欺骗服务器程序拒绝服务攻击一构造大量的非法请求,使Web服务器不能响应正常用户的访问。 4.跨站脚本攻击 由于网页可以包含由服务器生成的、并且由客户机浏览器解释的文本和HTML标记。如果不可信的内容被引人到动态页面中,则无论是网站还是客户机都没有足够的信息识别这种情况并采取保护措施。攻击者如果知道某一网站上的应用程序接收跨站点脚本的提交,他就可以在网上上提交能够完成攻击的脚本,如JavaScript. VBScript、 ActiveX、HTML或Flash等内容,普通用户一旦点击了网页上这些攻击者提交的脚本,那么就会在用户客户机上执行,完成从截获账户、更改用户设置、窃取和篡改Cookie到虚假广告在内的种种攻击行为。
|
西安网站建设杰商网谈网站安全问题及其危害
阅读数: 1816