SANGFOR_NGAF_V5.8_2015年度渠道高级认证培训02_常见攻击测试_2.ppt

以上分类摘自百度百科 /view/2161269.htm 本地利用漏洞，这种漏洞存在于页面中客户端脚本自身 反射式漏洞，这种漏洞和类型A有些类似，不同的是Web客户端使用Server端脚本生成页面为用户提供数据时，如果未经验证的用户数据被包含在页面中而未经HTML实体编码，客户端代码便能够注入到动态页面中。 存储式漏洞，该类型是应用最为广泛而且有可能影响到Web服务器自身安全的漏洞，骇客将攻击脚本上传到Web服务器上，使得所有访问该页面的用户都面临信息泄漏的可能，其中也包括了Web服务器的管理员。 * 常规的入侵渗透步骤一般如下： 信息搜集分析，此步骤包括初期的目标选取，例如通过google hack技术大范围查找针对性漏洞的网站，在目标确定情况下对攻击目标收集网站基本信息，寻找攻击点，通过该阶段，可以对网站有一个基本的认识，为后面发起攻击做好准备。 攻击实施阶段，依据此前搜集到的信息情况，针对性的发起攻击。 对于NGAF测试人员，则一般可以略过目标选取，在该阶段为提高测试成功率，可以依靠售前人员以及测试前与客户服务器管理员沟通，获取必要的网站信息，例如网站架构，服务器采用什么操作系统、数据库、网页编写语言以及以上对象使用的版本号信息。后续可依赖以上信息，搜索对应的版本存在的漏洞进行相应攻击。除了对版本漏洞攻击外，也可以针对网页代码编写过程中存在的漏洞进行扫描分析，需要依赖