web应用常见攻击测试方法和防御.pptVIP

Web应用常见攻击测试方法和防御     2009-06-17  Web应用常见攻击测试方法和防御 1、SQL注入 做任何事、、、 、、、 2、XSS（/xss.html） 钓鱼、跨站脚本 3、危险的上传、下载 4、跨站请求伪造 5、监听（未加密的请求） 我们的任务--------掀起一个衣角 SQL注入 SQL注入 ’ or ’1’=’1 1 or 1=1 子查询、Unicom查询、、、 SQL盲注 篡改数据库数据或系统文件 XSS 分为两种条件： 1、可以录入非法代码 2、非法代码可被其他用户看到 两种类型： 非法的代码是否被持久化和传播。 蠕虫（DDOS） 钓鱼 信息盗取 请求伪造 XSS xss蠕虫 具有自动传播、自动复制的特点,可在短时间内感染大量的页面。它通过用户访问被感染病毒的页面而感染有漏洞的站点上用户所拥有的页面或信息。 危害： 因其可以感染大量的用户，故其危害非常严重，可实现DDOS，钓鱼、信息窃取、请求伪造等。 特点： 站点或社区越活跃、用户量越大，感染的速度越快、危害越大。 XSS 钓鱼 诱使用户访问某个可信任域名下的包含有攻击代码的链接地址，通过攻击代码展示伪造的信息内容，欺骗用户提供如银行卡、敏感信息等的攻击方式。 XSS 信息盗取 在用户不知情的情况下，窃取用户的cookies或其他敏感信息。 XSS 请求伪造 在用户不知情的情况下访问了某个站点上包含有攻击代码的URL，攻击代码在用户不知情的情况下自动访问当前站点上的某些已授权的地址。 跨站请求伪造 跨站请求伪造 攻击者通过诱使某个登录了具有该缺陷的站点的用户 访问包含有伪造的缺陷攻击代码的页面，使得攻击代码在用户不知情的情况下执行某些授权操作。 上传、下载 上传 上传非法文件或将文件上传到非法目录 下载 下载非预期授权目录内的文件 未加密的请求 在局域网内通过ARP或sniffer等方式抓取用户的敏感请求信息。 Arp: 非静态路由局域网 Sniffer: 通过HUB组成的局域网 总结 永远不要相信客户端提交的任何数据！！！ 请求参数、cookie、url、http header 1、服务器端永远不使用未验证的客户端数据。 2、服务器永远不对外展示任何未验证的客户端数据。TOHTML