web渗透技术(Web渗透概述)
web渗透技术(Web渗透概述)
2024-11-22 04:08:49  作者:見乖罘怪  网址:https://m.xinb2b.cn/sport/jqv400458.html

Web 已经在企业信息化、电子商务、电子政务中等得到广泛的应用,Web 的迅速发展同时,也带来了众多的安全威胁。网络攻击重心已转向应用层, Web 已成为黑客首选攻击目标, 针对 Web 的攻击和破坏不断增长,据高盛统计数据表明,75% 的攻击是针对 Web 应用的。然而,对于 Web 应用安全领域,很多企业还没有充分的认识、没有做好准备;许多开发人员也没有相应的经验,这给了黑客可乘之机。

1.1 Web 安全风险与趋势

最新发布的白帽 Web 安全统计报告显示,接受抽样调查网站达 3 万余个,负责撰写报告的首席研究员 Gabriel Gumbs 指出:没有哪一种开发语言或平台有着明显的安全性优势,从漏洞数量来看,大量网站使用的不同的开发语言之间并没有太大的差异,几个主要开发平台的漏洞数量基本处于同一个数量级。


2018 年夏季互联网发展状况安全报告关于 Web 攻击的报告指出,Web 攻击平均每天发生次数在 10 兆次左右,最高可到达 16 兆次以上;同时使用最广泛的攻击方式仍然集中在 SQL 注入、XSS、文件包含;在该报告覆盖的时间范围内,俄罗斯、中国和印度尼西亚是对旅游行业进行撞库攻击的主要来源国,其中半数的撞库活动都指向酒店、游轮公司、航空公司和旅游网站。中国和俄罗斯针对酒店行业和旅游行业的攻击流量加起来是来自美国的攻击流量的三倍。




通过入侵 Web 站点而产生的信息泄露事件越来越多。在网络大互联的今天,所有人都有各种私人敏感信息存留在网络中,而其中最多的又是用户自行在网站上注册并记录的,这也就给了黑客一个非常大的驱动力,窃取用户数据贩卖至黑产,使用户信息流向电话推销、电信诈骗等渠道


1.2 Web 攻击的常见目的恶作剧;关闭 Web 站点,拒绝正常服务;篡改 Web 网页,损害企业名誉;免费浏览收费内容;盗窃用户隐私信息,例如 Email;以用户身份登录执行非法操作,从而获取暴利;以此为跳板攻击企业内网其他系统;网页挂木马,攻击访问网页的特定用户群;仿冒系统发布方,诱骗用户执行危险操作,例如用木马替换正常下载文件,要求用户汇款等;1.3 Web 安全术语后门绕过安全控制而获取对程序或系统访问权的方法。后门的最主要目的就是方便以后再次秘密进入或者控制系统。WebshellWebshell 就是以 asp、php、jsp 或者 cgi 等网页文件形式存在的一种命令执行环境,也可以将其称作为一种网页后门。0day漏洞通常是指还没有补丁的漏洞。也就是说官方还没有发现或者是发现了还没有开发出安全补丁的漏洞Exploit简称 exp,漏洞利用提权提高自己在服务器中的权限,主要针对网站入侵过程中,当入侵某一网站时,通过各种漏洞提升 Webshell 权限以夺得该服务器权限。跳板跳板,简单来说,就是在进行攻击或渗透时,不直接发起,而是控制一台中间主机来进行。这台中间主机就成为跳板。拖库网站遭到入侵后,黑客窃取其数据库。社会工程学一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段取得自身利益的手法,已成迅速上升甚至滥用的趋势。Apt 攻击高级持续性威胁。 利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式1.4 Web 常见攻击手段(OWASP TOP 10)

针对 Web 服务的攻击手段五花八门,形形色色。为了帮助IT公司和开发团队规范应用程序开发流程和测试流程,提高Web产品的安全性,OWASP 组织每年都会发布 OWASP TOP 10 年度报告,该报告总结了 Web 应用程序最可能、最常见、最危险的十大漏洞OWASP:开放式 Web 应用程序安全项目,是一个非营利组织,不附属于任何企业或财团。因此,由 OWASP 提供和开发的所有设施和文件都不受商业因素的影响。OWASP 支持商业安全技术的合理使用,它有一个论坛,在论坛里信息技术专业人员可以发表和传授专业知识和技能。


1.5 OWASP TOP 10 2017A1 - Injection(注入漏洞)当不可信的数据作为命令或查询语句的一部分被发送给解释器的时候,会发生注入漏洞,包括 SQL、NoSQL、OS 以及 LDAP 注入等。攻击者发送的恶意数据可能会诱使解释器执行计划外的命令,或在没有适当授权的情况下访问数据。A2 - BrokenAuthentication(中断身份认证)与认证和会话管理相关的应用函数经常被错误地实现,从而允许攻击者破坏密码、密钥或是会话令牌或者利用其他的应用漏洞来暂时或永久地获取用户身份信息。A3 - Sensitive DataExposure(敏感数据泄露)许多 Web 应用程序和 API 不能正确的保护敏感数据,如金融、医疗保健和 PII(个人身份信息)等。攻击者可能会窃取或篡改这些弱保护的数据,从而进行信用卡欺诈、身份盗窃或其他犯罪行为。在缺少额外保护(例如,在存放和传输过程中加密,且在与浏览器进行交换时需要特别谨慎)的情况下,敏感数据可能会受到损害。A4 - XML ExternalEntities(XXE)XML 外部处理器漏洞许多过时的或配置不当的XML处理器在XML文档内进行外部实体引用。外部实体可用于泄露内部文件,通过使用文件URI处理器、内部文件共享、内部端口扫描、远程代码执行以及拒绝服务攻击等手段。A5 - Broken AccessControl(中断访问控制)限制“认证的用户可以实现哪些操作”的命令没有得到正确的执行。攻击者可以利用这些漏洞访问未经授权的功能和数据,例如访问其他用户的账户,查看敏感文件,篡改其他用户的数据,更改访问权限等。A6 - SecurityMisconfiguration(安全配置错误)安全配置错误是最常见的问题。这通常是由不安全的默认配置,不完整或 ad hoc 配置,开放云存储,错误配置的 HTTP 标头,以及包含敏感信息的详细错误信息造成的。所有的操作系统、框架、库、应用程序都需要进行安全配置外,还必须要及时进行系统更新和升级。A7 - Cross-SiteScripting(XSS)跨站脚本攻击如果应用程序在未经适当验证或转义的情况下,能够在新网页中包含不受信任的数据,或是使用可以创建 HTML 或者 JavaScript 的浏览器 API 更新包含用户提供的数据的现有网页,就会出现 XSS 漏洞。XSS 允许攻击者在受害者的浏览器中执行脚本,这些脚本可以劫持用户会话、破坏网站或将用户重定向到恶意网站中。A8 - InsecureDeserialization(不安全的反序列化)不安全的反序列化漏洞通常会导致远程代码执行问题。即使反序列化错误不会导致远程代码执行,也可以被用来执行攻击,包括重放攻击、注入攻击以及权限提升攻击等。A9 - UsingComponents with Known Vulnerabilities(使用含有已知漏洞的组件)组件(如库、框架和其他软件模块)是以与应用程序相同的权限运行的。如果存在漏洞的组件被利用,这种攻击可能会导致严重的数据丢失或服务器接管危机。使用已知漏洞组件的应用程序和API可能会破坏应用程序的防御系统,从而启动各种形式的攻击,造成更为严重的影响。A10 - InsufficientLogging & Monitoring(不足的记录和监控漏洞)不足的记录和监控漏洞,再加上事件响应能力欠缺以及缺少有效的整合,使得攻击者可以进一步攻击系统,维持其持久性,转而攻击更多的系统,并篡改、提取或销毁数据。大部分的数据泄露研究显示,检测出发生数据泄漏的时间通常需要超过 200 天,而且通常是外部机构率先发现数据泄漏的事实,而不是通过内部发现的。,
  • 最近被拍到与女友同框又红的男星(一天内被曝出四位女友)
  • 2024-11-22一天内被曝出四位女友饿了吗?戳右边关注我们,每天给您送上最新出炉的娱乐硬核大餐!5月27日,“郝富申第四位女友出现”的爆料引起广泛热议短短一天时间内,这位新晋小鲜肉陆续有四位女友浮出水面,让人直呼:“撩妹技术不简单”让我。
  • steam新游3月(steam一月热门新游推荐)
  • 2024-11-22steam一月热门新游推荐生化危机2:重制版卡表这冷饭炒的真香!生化危机2重制版在画面上诚意十足,并非只是简单地换个高清贴图,而是以“RE引擎”重新打造了一座浣熊市,在画面表现力上比起生化危机7更上一层楼同时视角由老生化2的第。
  • 潜伏5潜伏2(招魂男主翻身当导演)
  • 2024-11-22招魂男主翻身当导演温子仁被称为恐怖大师以及现如今好莱坞最成功的商业大导当然是有原因的,他一手打造的起来的恐怖惊悚系列有三个,《电锯惊魂》系列,《招魂》系列,以及《潜伏》系列,现如今《电锯惊魂》系列大名如雷贯耳,一直拍了。
  • 佛山瓷砖十大品牌一级品(新恒隆陶瓷强势登陆CCTV)
  • 2024-11-22新恒隆陶瓷强势登陆CCTV6月2日下午3点,新恒隆陶瓷&CCTV2020广告战略合作签约仪式在新恒隆企业佛山总部四楼隆重举行!总经理罗总与央广传媒代表签署了合作合同,一众高管共同见证了这个意义非凡的历史性时刻!热烈祝贺新恒隆陶。
  • 车子大保养有什么(需要怎么进行保养)
  • 2024-11-22需要怎么进行保养机油,机油就是发动机运转的润滑油能对发动机起到润滑、清洁、冷却、密封、减磨等作用对于降低发动机零件的磨损,延长使用寿命有着重要的意义机油滤芯,机油滤芯是过滤机油的部件机油中都含有一定量的胶质、杂质、水。
  • 南枝的全部小说简介(南枝基本情况简介)
  • 2024-11-22南枝基本情况简介南枝,知名网络写手,在晋江文学城开有个人专栏,代表作品有《愉此一生》、《嫡子身份——许一世盛世江山》、《心尖痣》《嫡子身份——许一世盛世江山》讲述因为身体上的缺陷,出生后就差点被他父亲季大人扔在地上摔。
  • 宋威龙正面帅照(我的青春都是你全新预告)
  • 2024-11-22我的青春都是你全新预告来源:中国娱乐网2019-05-2914:24:59中国娱乐网讯由柴智屏监制、新锐导演周彤、代梦颖执导,“少女代言人”宋芸桦和“新一代国民校草”宋威龙联袂出演的2019青春爱情走心之作《我的青春都是你。
  • 女儿患奇病惨遭母亲虐待(女孩被魔鬼罕见病折磨28年)
  • 2024-11-22女孩被魔鬼罕见病折磨28年“这么多年,我一直唯唯诺诺、战战兢兢地生活不社交、拒绝美食,没有圈子,可以说是很孤独了但现在,虽然我依然没有治愈,至少我可以放心大胆地吃喝了,我还是很快乐的”拿到基因检测报告后,白桃(化名)长舒了一口。
  • 电动车被路边小车刮倒死亡(三轮车刮倒人拖行伤者百米)
  • 2024-11-22三轮车刮倒人拖行伤者百米死者女儿在父亲坠河身亡的地方向记者介绍情况死者在这座桥上被截停并遭到殴打,之后坠河身亡雨雪交加,电动三轮车刮倒人,将伤者挂住拖行了百米,骑车人不知有无觉察,依旧向前驶去,3名目击者驾车追了上去这桩事故。
  • lol新版本辅助阿木木(锤石剑姬阿木木免费)
  • 2024-11-22锤石剑姬阿木木免费8月25日消息,LOL周免8.26更新,锤石剑姬阿木木免费LOL周免英雄明天即将更新,尤其是LOL周免当中的锤石还有剑姬等等英雄开始免费使用,就让我们来一起看看LOL周免英雄的玩法吧永恒梦魇使用技巧当。
  • 再见江湖黄光裕(再见江湖黄光裕)
  • 2024-11-22再见江湖黄光裕在国美最辉煌时离开的黄光裕,重回后如何盘整这个挣扎的国美?他是否还保有12年前入狱时那般年轻的精力和心态,以及最为重要的,12年后面对一个巨头林立的新零售时代的洞察和智慧?6月24日晚间,北京市第一中。
  • 高以翔个人资料(高以翔介绍)
  • 2024-11-22高以翔介绍高以翔(GodfreyTsao,1984年9月22日-2019年11月27日),原名曹志翔,出生于台湾省台北市,华语影视男演员、模特,毕业于卡普兰诺大学2006年,出演个人首部电视剧《爱情魔发师》,从。