Web攻击及防御技术
2021-02-03 10:18:48 0 举报AI智能生成
登录查看完整内容
Web攻击及防御技术知识体系
作者其他创作
大纲/内容
Web攻击及防御技术
三个方面
服务器
利用web服务器的漏洞
利用网页自身的漏洞
实例
服务器程序编写不当导致缓冲器溢出
针对服务器的拒绝服务攻击
脚本程序编写不当,SQL注入
乐观的相信用户输入,导致跨站攻击
客户端
网页木马
XSS
通信信道
拒绝服务攻击
网络嗅探
拥塞信息
耗费资源
指纹识别
流程
指纹收集和分类
未知指纹同数据库中的指纹比较,找出符合的
web服务banner信息获取
对目的主机80端口发送请求,查看header的server字段就可以看到banner
页面盗链
通过网页源码,找到可能存在于代码、注释、设计中的关键缺陷和脆弱点
方法
逐页手工扫描
自动扫描
跨站脚本攻击
在web页面插入恶意HTML代码
先决条件
有跨站脚本漏洞的web应用程序
需要用户点击链接或者是访问某一页面
寻找XSS漏洞
注入恶意代码
欺骗用户访问
SQL注入
过程
寻找可能存在SQL注入漏洞的连接
测试该网站是否存在SQL注入漏洞
猜测管理员账号表
猜测管理员表中的字段
猜测用户和密码的长度
Google Hacking
使用Google的搜索语法搜索有漏洞的URL
网页验证码
区分人机交互问题
类型
文本验证码
手机验证码
邮件验证码
图片验证码
0 条评论
回复 删除
下一页
