Web攻击及防御技术
2021-02-03 10:18:48 0 举报
AI智能生成
Web攻击及防御技术知识体系
作者其他创作
大纲/内容
三个方面
服务器
利用web服务器的漏洞
利用网页自身的漏洞
实例
服务器程序编写不当导致缓冲器溢出
针对服务器的拒绝服务攻击
脚本程序编写不当,SQL注入
乐观的相信用户输入,导致跨站攻击
客户端
网页木马
XSS
通信信道
拒绝服务攻击
网络嗅探
拥塞信息
耗费资源
指纹识别
流程
指纹收集和分类
未知指纹同数据库中的指纹比较,找出符合的
web服务banner信息获取
对目的主机80端口发送请求,查看header的server字段就可以看到banner
页面盗链
通过网页源码,找到可能存在于代码、注释、设计中的关键缺陷和脆弱点
方法
逐页手工扫描
自动扫描
跨站脚本攻击
XSS
在web页面插入恶意HTML代码
先决条件
有跨站脚本漏洞的web应用程序
需要用户点击链接或者是访问某一页面
流程
寻找XSS漏洞
注入恶意代码
欺骗用户访问
SQL注入
过程
寻找可能存在SQL注入漏洞的连接
测试该网站是否存在SQL注入漏洞
猜测管理员账号表
猜测管理员表中的字段
猜测用户和密码的长度
Google Hacking
使用Google的搜索语法搜索有漏洞的URL
网页验证码
区分人机交互问题
类型
文本验证码
手机验证码
邮件验证码
图片验证码
0 条评论
下一页