Web安全攻防技术探讨

发表于 | 更新于 | 评论数: | 阅读次数:

网络安全(英语:network security)包含网络设备安全、网络信息安全、网络软件安全。在此重点探讨网络软件安全中的Web安全。当前Web安全面临的压力越来越大,一方面是Web应用一统江湖,君临天下,另一方面针对Web应用的攻击越来越多,攻击方法越来越成熟。下面重点介绍常见的Web攻击方法。

XSS

XSS (Cross Site Script,跨站脚本攻击)的原理是恶意攻击者往 Web 页面里插入恶意可执行网页脚本代码,当用户浏览该页之时,嵌入其中 Web 里面的脚本代码会被执行,从而可以达到攻击者盗取用户信息或其他侵犯用户安全隐私的目的。

非持久型 XSS

持久型 XSS

CSRF

CSRF(Cross-Site Request Forgery,跨站请求伪造攻击)可以盗用你的登陆信息,以你的身份模拟发送各种请求。

SQL 注入

SQL 注入漏洞(SQL Injection)是 Web 开发中最常见的一种安全漏洞。可以用它来从数据库获取敏感信息,或者利用数据库的特性执行添加用户,导出文件等一系列恶意操作,甚至有可能获取数据库乃至系统用户最高权限。

命令行注入

命令行注入漏洞,指的是攻击者能够通过 HTTP 请求直接侵入主机,执行攻击者预设的 shell 命令。

DDoS 攻击

DDoS 又叫分布式拒绝服务,全称 Distributed Denial of Service,其原理就是利用大量的请求造成资源过载,导致服务不可用。

网络层 DDoS

应用层 DDoS

流量劫持

流量劫持是黑产行业的一大经济支柱。

DNS 劫持

HTTP 劫持

参考链接

  1. Advanced web security topics,by George.
  2. 网络安全,by wikipedia.
  3. 常见 Web 安全攻防总结,by zoumiaojiang.
  4. RSA 的原理与实现,by cjting.
  5. 暗网取证研究,by 苏再添.