信息安全技术资料渗透.pptVIP

* * * * * * * * * * * * * * * * * * * * * * Metasploit Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. Hackbar Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 网安网_网络安全服务_计算机司法鉴定_网络安全评估_深圳等级保护 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 目前常见WEB漏洞 攻击者可通过SQL注入对数据库进行查询、篡改等常规操作，执行权限允许的情况下，可以清空整个数据库。同时，攻击者也可通过SQL注入漏洞调用存储过程，执行系统命令、利用备份写入后门木马等操作。 漏洞描述 风险分析 绕过登陆验证 获取数据库数据 篡改数据库 执行危险存储过程 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 目前常见WEB漏洞 攻击者可利用该漏洞，提交构造的跨站代码，在用户非自愿的情况下执行恶意脚本，导致会话、Cookie等信息被窃取，通过窃取到的认证信息，伪造身份进行攻击。 漏洞描述 风险分析 执行恶意代码 窃取用户会话信息 获得管理权限 伪造身份进行攻击 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 目前常见WEB漏洞 由于WEB应用存在的某些缺陷，攻击者可以无视上传规则，上传非法文件，导致上传WebShell木马、后门程序，或者提权、破坏服务器内容。 漏洞描述 风险分析 直接获取WebShell 上传木马后门或者病毒程序 通过提权得到服务器控制权 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 目前常见WEB漏洞 通过简单密码组合猜解，一旦高权限帐户密码强度不够，就容易被获取，或者暴力破解，从而得到网站管理权限，某些可能存在缺陷的后台功能，由于其他高危漏洞，导致攻击者最终获得整个服务器的最高权限。 漏洞描述 风险分析 用户密码被猜解 管理权限泄漏 后台可能存在其他高风险漏洞 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 目前常见WEB漏洞 由于WEB应用逻辑缺陷，页面存在验证不足的情况下，低权限帐号可能越权访问应用功能，或者绕过登陆验证直接进入后台。 漏洞描述 风险分析 绕过登陆验证 越权访问应用功能 篡改后台设置 利用其他后台漏洞进一步攻击 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 目前常见WEB漏洞 WEB服务器程序通过不断的更新和升级，来修复程序中存在的各种漏洞。低版本可能存在高版本中已知的高危漏洞，如果没有及时升级更新或者使用的WEB服务器程序版本过低，就有可能存在没有被修复的漏洞。 漏洞描述 风险分析 拒绝服务攻击 溢出攻击 任意命令执行 敏感信息泄漏 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 目前常见WEB漏洞 应用程序错误信息，在WEB应用开发期间，可以帮助开发人员快速找到Bug，修复和完善应用程序。在部署运行时，可能存在容错机制不完善，没有严格处理5xx错误等信息，导致应用程序错误信息直接暴露在浏览者面前。 漏洞