网站常见攻击类型解释第一部.pdf

网站常见攻击类型解释第一部 作者：瓜爸 整理：A 队 2013 年4 月9 日星期二 跨站点请求伪造 概念解释：“跨站点伪造请求 (CSRF)”攻击可让黑客以受害者的名义在易受攻击的站点上 运行操作。当易受攻击的站点未适当验证请求来源时，便可能出现这个攻击。 这项攻击的执行方式，是强迫受害者的浏览器向易受攻击的站点发出 HTTP 请求。例如：当调用一个send_mail.hml 来进行发送邮件时，页面send_ email.htm 会获取它收到的数据，并从用户发送一封电子邮件给收件人。注 意send_email.htm 简单地获取了数据并用这些数据执行了一个行为。它不 关心请求来源什么地方，只关心产生的的请求。这意味着，如果用户在浏览 器手动输入编造的URL，应用程序仍会发送一封电子邮件。 安全风险：可能会窃取或操纵客户会话和 cookie，它们可能用于模仿合法用户，从而使 黑客能够以该用户身份查看或变更用户记录以及执行事务 可能原因：应用程序使用的认证方法不充分 链接注入（便于跨站请求伪造） 概念解释：“链接注入”是修改站点内容的行为，其方式为将外部站点的 URL 嵌入其中， 或将有易受攻击的站点中的脚本 的 URL 嵌入其中。将 URL 嵌入易受攻击 的站点中，攻击者便能够以它为平台来启动对其他站点的攻击，以及攻击这 个易受攻击的站点本身。 安全风险：  可能会劝说初级用户提供诸如用户名、密码、信用卡号、社会保险号等敏 感信息  可能会窃取或操纵客户会话和 cookie，它们可能用于模仿合法用户，从 而使黑客能够以该用户身份查看或变更用户记录以及执行事务  可能会在 Web 服务器上上载、修改或删除 Web 页面、脚本和文件 可能原因：未对用户输入正确执行危险字符清理 目录列表 概念解释：如果 Web 服务器配置不当，便有可能发送对于特定目录（而不是文件）的 请求来检索目录列表。 安全风险：可能会查看和下载特定 Web 应用程序虚拟目录的内容，其中可能包含受限 文件 可能原因：已启用目录浏览 通过框架钓鱼 概念解释：攻击者有可能注入 frame 或 iframe 标记，其中含有类似受攻击之网站的恶 意属性。不小心的用户有可能浏览它，但并不知道他正在离开原始网站，冲 浪到恶意的网站。之后，攻击者便可以诱惑用户重新登录，然后获取他的登 录凭证。 安全风险：可能会劝说初级用户提供诸如用户名、密码、信用卡号、社会保险号等敏感 信息 可能原因：未对用户输入正确执行危险字符清理 已解密的登录请求 概念解释：在应用程序测试过程中，检测到将未加密的登录请求发送到服务器。 由于登录过程所用的部分输入字段（例如：用户名、密码、电子邮件 地址、社会保险号码，等等）是个人敏感信息，建议通过加密连接（如 SSL）将其发送到服务器。 任何以明文传给服务器的信息都可能被窃，稍后可用来电子欺骗身份 或伪装用户。 此外，若干隐私权法规指出，用户凭证之类的敏感信息一律以加密方 式传给网站。 安全风险：可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息 可能原因：诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递 SQL 注入 概念解释：攻击者可以通过注入恶意的数据，当该数据并入 SQL 查询中时，就将查询