常见针对Web应用攻击的十大手段-51Testing.docVIP

Web 应用安全威胁分为如下六类： Authentication（验证） 用来确认某用户、服务或是应用身份的攻击手段。 Authorization（授权） 用来决定是否某用户、服务或是应用具有执行请求动作必要权限的攻击手段。 Client-Side Attacks（客户侧攻击） 用来扰乱或是探测 Web 站点用户的攻击手段。 Command Execution（命令执行） 在 Web 站点上执行远程命令的攻击手段。 Information Disclosure（信息暴露） 用来获取 Web 站点具体系统信息的攻击手段。 Logical Attacks（逻辑性攻击） 用来扰乱或是探测 Web 应用逻辑流程的攻击手段 常见针对 Web 应用攻击的十大手段应用威胁 负面影响 后果 跨网站脚本攻击 标识盗窃，敏感数据丢失… 黑客可以模拟合法用户，控制其帐户。 注入攻击 通过构造查询对数据库、LDAP 和其他系统进行非法查询。 黑客可以访问后端数据库信息，修改、盗窃。 恶意文件执行 在服务器上执行 Shell 命令 Execute，获取控制权。 被修改的站点将所有交易传送给黑客 不安全对象引用 黑客访问敏感文件和资源 Web 应用返回敏感文件内容 伪造跨站点请求 黑客调用 Blind 动作，模拟合法用户 黑客发起 Blind 请求，要求进行转帐 信息泻露和不正