建站资讯

八大常见web漏洞及其危害

作者:admin 发布时间:2020-08-01
八大常见web漏洞及其危害摘要:1、跨站攻击 漏洞描述 跨站脚本攻击(Cross-site scripting,通常简称为XSS)发生在手机客户端,可被用于进行窃取隐私、钓鱼欺骗、偷取密码、传播恶意代码等攻击性行为。 恶意的网络攻击将对手机客户端有危害的代码放到网络服务器上作为一个网页页面, 使得其他网站用户在观看此网页时,这些代码注入到了用户的

1、跨站攻击

漏洞描述

    跨站脚本攻击(Cross-site scripting,通常简称为XSS)发生在手机客户端,可被用于进行窃取隐私、钓鱼欺骗、偷取密码、传播恶意代码等攻击性行为。 恶意的网络攻击将对手机客户端有危害的代码放到网络服务器上作为一个网页页面, 使得其他网站用户在观看此网页时,这些代码注入到了用户的电脑浏览器中执行,使用户受到攻击。一般而言,利用跨站脚本攻击,网络攻击可窃会话COOKIE从而窃取网站用户的隐私,包括密码。

    XSS攻击使用到的技术主要为HTML和Javascript,也包括VBScript和ActionScript等。XSS攻击对WEB网络服务器虽无直接危害,但是它借助网站进行传播,使网站的使用用户受到攻击,导致网站用户帐号被窃取,从而对网站也产生了较严重的危害。

漏洞危害

    ①钓鱼欺骗:最典型的就是利用目标网站的反射型跨站脚本漏洞将目标网站跳转到诈骗网站,或者注入钓鱼JavaScript以监控目标网站的表单输入,甚至发起基于DHTML更高级的钓鱼攻击方式。

    ②网站挂马:跨站时利用IFrame嵌入隐藏的恶意网站或者将黑客攻击者定向到恶意网站上,或者弹出恶意网站窗口等方式都能够进行挂马攻击。

    ③身份盗用:Cookie是用户对于特定网站的身份认证标志,XSS可以盗取到用户的Cookie,从而利用该Cookie盗取用户对该网站的操作权限。如果一个网站后台管理员用户Cookie被窃取,将会对网站引发巨大的危害。

    ④盗取网站客户信息:当能够窃取到用户Cookie从而获取到用户身份使,网络攻击可以获取到用户对网站的操作权限,从而查看用户隐私信息。

    ⑤垃圾信息发送:比如在SNS社区中,利用XSS漏洞借用黑客攻击者的身份发送大量的垃圾信息给特定的目标群。

    ⑥劫持用户Web行为:一些高级的XSS攻击甚至可以劫持用户的Web行为,监视用户的浏览历史,发送与接收的数据等等。

    ⑦XSS蠕虫:XSS 蠕虫可以用来做广告、刷点击、挂马、捉弄、破坏网上数据、实施DDoS攻击等。


2、CRLF攻击

漏洞描述

    HTTP响应拆分漏洞,也叫CRLF注入攻击。CR、LF分别对应回车、换行字符。
    HTTP头由很多被CRLF组合分离的行构成,每行的结构都是“键:值”。
    如果用户输入的值部分注入了CRLF字符,它有可能改变的HTTP报头结构。

漏洞危害

    网络攻击可能注入自定HTTP头。例如,网络攻击可以注入会话cookie或HTML代码。这可能会进行类似的XSS(跨站点脚本)或会话固定漏洞。


3、SQL注入攻击

漏洞描述

    SQL注入攻击(SQL Injection),简称注入攻击、SQL注入,被广泛用于非法获取网站决策权,是发生在程序运行的数据库查询层上的网络安全问题。 在设计不良的程序当中,忽略了对输入字符串数组中夹带的SQL指令的检查,那么这些夹带进去的指令就会被数据库查询误以为是正常的SQL指令而运行, 从而使数据库查询受到攻击,可能导致数据被窃取、更改、删除,以及进一步导致网站被嵌入恶意代码、被植入后门程序等危害。

漏洞危害

    ①机密数据被窃取
    ②核心业务数据被篡改
    ③网页被篡改
    ⑤数据库查询所在网络服务器黑客攻击变为傀儡主机,甚至企业网被入侵。


4、写入webshell攻击

漏洞描述

    写入webshell攻击,是指WAF检测到网络攻击正在往用户网站写入网页木马,企图控制网络服务器。

漏洞危害

    网络攻击可以在用户网站上写入一个web木马后门,用于操作用户网站上的文件,执行命令等等。


5、本地文件包含

漏洞描述

    本地文件包含是指编程代码在处理包含文件的时候没有严控。
    利用这个漏洞,网络攻击可以先把上传的静态文件,或网站流量统计文件作为代码执行,进而获取到网络服务器权限,造成网站被恶意删除,用户和交易数据被篡改等一系列恶性后果。

漏洞危害

    攻击着可以利用该漏洞,在网络服务器上执行命令。


6、远程文件包含

漏洞描述

    远程文件包含是指编程代码在处理包含文件的时候没有严控。导致用户可以构造参数包含远程代码在网络服务器上执行,进而获取到网络服务器权限,造成网站被恶意删除,用户和交易数据被篡改等一系列恶性后果。

漏洞危害

    攻击着可以利用该漏洞,在网络服务器上执行命令。


7、远程代码执行

漏洞描述

    代码注入是指由于服务端代码漏洞导致恶意用户输入在服务端强制执行的一种高危网络安全问题。

漏洞危害

    利用该漏洞,可以在网络服务器上执行网络攻击拼装的代码。


8、FastCGI攻击

漏洞描述

    Nginx中存在一个较为严重的安全隐患,FastCGI模块默认情况下可能导致网络服务器错误的将任何类型的文件以PHP的方式进行解析。

漏洞危害

    这将导致严重的安全隐患,使得恶意的网络攻击可能攻陷支持php的Nginx网络服务器。


标签: web漏洞 web


文章版权及转载声明:

本文由 心月IT技术博客 博主整理于 2019-03-01
若转载请注明原文及出处:


收缩