荣耀彩票代理

  • 热门专题

图解HTTP读书笔记(十)

作者:  发布日期:2016-11-01 19:52:58
  • 图解HTTP读书笔记(十)

    Web的攻击技术

    荣耀彩票代理HTTPXIEYIBENSHENBINGBUCUNZAIANQUANXINGWENTI,YINCIXIEYIBENSHENJIHUBUHUICHENGWEIGONGJIDUIXIANG。YINGYONGHTTPXIEYIDEFUWUQIHEKEHUDUAN,YIJIYUNXINGZAIFUWUQISHANGDEWebYINGYONGZIYUANCAISHIGONGJIMUBIAO。

    在客户端即可篡改请求

    在Web应用中,从浏览器荣耀彩票代理那接收到的HTTP请求的全部内容,都可以在客户端自由的变更、篡改。

    ZAIHTTPQINGQIUBAOWENNEIJIAZAIGONGJIDAIMA,JIUNENGFAQIDUIWebYINGYONGDEGONGJI。TONGGUOURLCHAXUNZIDUANHUOBIAODAN、HTTPSHOUBU,CookieDENGTUJINGBAGONGJIDAIMACHUANRU,RUOZHEISHIWebYINGYONGCUNZAIANQUANLOUDONG,NEINEIBUXINXIJIUHUIZAODAOQIEQU,HUOBEIGONGJIZHENADAOQUANXIANGUANLI。

    image

    针对Web应用的攻击模式

    DUIWebYINGYONGDEGONGJIMOSHIYOUYIXIALIANGZHONG。

    主动攻击 被动攻击
    以服务器为目标的主动攻击

    ZHUDONGGONGJI:SHIZHIGONGJIZHETONGGUOZHIJIEFANGWENWebYINGYONG,BAGONGJIDAIMACHUANRUDEGONGJIMOSHI。

    YOUYUGAIMOSHISHIZHIJIEZHENDUIFUWUQISHANGDEZIYUANJINXINGGONGJI,YINCIGONGJIZHEXUYAONENGGOUFANGWENDAONEIXIEZIYUAN。

    主动攻击模式里具有代表性的攻击是SQL注入攻击和OS命令注入攻击。

    image

    以服务器为目标的被动攻击

    BEIDONGGONGJI:SHIZHILIYONGQUANTAOCELVEZHIXINGGONGJIDAIMADEGONGJIMOSHI。ZAIBEIDONGGONGJIGUOCHENGZHONG,GONGJIZHEBUZHIJIEDUIMUBIAOWebYINGYONGFANGWENFAQIGONGJI。

    被动攻击通常的攻击模式:
    - 步骤1

    攻击者诱使用户触发已设置好的陷阱,而陷阱会启动发送已嵌入攻击的HTTP请求。
    

    BUZHOU2

    当用户不知不觉中招后,用户的浏览器或邮件客户端就会触发这个陷阱。

    BUZHOU3

    荣耀彩票代理ZHONGZHAOHOUDEYONGHULIULANQIHUIBAHANYOUGONGJIDAIMADEHTTPQINGQIUFASONGJIZUOWEIGONGJIMUBIAODEWebYINGYONG,YUNXINGGONGJIDAIMA。

    BUZHOU4

    荣耀彩票代理ZHIXINGWANGONGJIDAIMA,CUNZAIANQUANLOUDONGDEWebYINGYONGHUICHENGWEIGONGJIZHEDETIAOBAN,KENENGHUIDAOZHIYONGHUSUOCHIDECookieDENGGERENXINXIBEIQIEQU,DENGLUZHUANGTAIZHONGYONGHUQUANXIANZAOEYILANYONGDENGHOUGUO。

    image

    被动攻击模式中具有代表性的攻击是跨站脚本攻击跨站点请求伪造


    实施Web应用的安全对策

    SHISHIWebYINGYONGDEANQUANDUICEDAZHIFENWEILIANGBUFEN

    客户端验证 服务端验证
    输入值验证 输出值转义

    image

    KEHUDUANYANZHENGSHIWEILEJINZAODESHIBIESHURUCUOWU,WebDUANDESHURUZHIYANZHENGTONGCHANGSHIJIANCHASHIFOUSHIFUHEYEWULUOJI,HUOJIANCHAZIFUBIANMADENGYUFANGDUICE。SHUCHUZHUANYISHIHENGUANJIANDEANQUANCELVE,DANGSHUCHUZHIZHUANYIBUWANQUANSHI,HUIYINCHUFAGONGJIZHECHUANRUDEGONGJIDAIMA,ERJISHUCHUDUIXIANGDAILAISUNHAI。


    跨站脚本攻击

    KUAZHANJIAOBENGONGJI(Cross-Site Scripting,XSS)SHIZHILIYONGWANGZHANLOUDONGCONGYONGHUNEILIEYIDAOQUXINXI。

    荣耀彩票代理DONGTAICHUANGJIANDEHTMLBUFENYOUKENENGYINZANGZHEANQUANLOUDONG。JIUZHEIYANG,GONGJIZHEBIANXIEJIAOBENSHEXIAXIANJING,YONGHUZAIZIJIDELIULANQISHANGYUNXINGSHI,YIBUXIAOXINJIUHUISHOUDAOBEIDONGGONGJI。

    跨站脚本攻击可能造成的影响

    利用虚假输入表单骗取用户个人信息。 利用脚本窃取用户的Cookie值,被害者在不知情的情况下,帮助攻击者发送恶意请求。 显示伪造的文章或图片。
    SQL注入攻击

    荣耀彩票代理SQLZHURU(SQL Injection):SHIZHIZHENDUIWebYINGYONGSHIYONGDESHUJUKU,TONGGUOYUNXINGFEIFADESQLERCHANSHENGDEGONGJI。

    GAIANQUANYINHUANYOUKENENGYINFAJIDADEWEIXIE,YOUSHIHUIZHIJIEDAOZHIGERENXINXIJIJIMIXINXIDEXIELU。

    SQLZHURUGONGJIYOUKENENGHUIZAOCHENGYIXIADENGYINGXIANG。

    非法查看或篡改数据库内的数据 规避认证 执行和数据库服务器关联的程序等

    例如:
    正确的SQL语句:

    select * from table_name where name='jack'and age>20;

    SQLZHURUYUJU:(JIANGGANGCAIDEname=’jack’GAIWEIname=’jack–’,YUJURUXIA:)

    select * from table_name where name='jack'--' age>20;

    SQLYUJUZHONGDE–ZHIHOUQUANSHIWEIZHUSHI,JIHOUMIANDEGUOLVTIAOJIANHUIZIDONGDEHULVE。ZHEIYANGHUIDUISHUJUKUDEZENGSHANGAICHAYOUHENDAYINGXIANG。


    OS命令注入攻击

    OSMINGLINGZHURUGONGJI(OS Command Injection)SHIZHITONGGUOWebYINGYONG,ZHIXINGFEIFADECAOZUOXITONGDADAOGONGJIDEMUDE。ZHIYAOZAINENGDIAOYONGShellHANSHUDEDIFANGJIUYOUCUNZAIBEIGONGJIDEFENGXIAN。

    KEYICONGWebYINGYONGZHONGTONGGUOShellLAIDIAOYONGCAOZUOXITONGMINGLING。TANGRUODIAOYONGShellSHICUNZAISHULOU,JIUKEYIZHIXINGCHARUDEFEIFAOSMINGLING。

    OS命令注入攻击可以向Shell发送命令,让Window或Linux操作系统的命令行启动程序。也就是说,通过OS注入攻击可执行OS上安装着的各种程序。


    HTTP首部注入攻击

    HTTPSHOUBUZHURUGONGJI(HTTP Header Injection):SHIZHIGONGJIZHETONGGUOZAIXIANGYINGSHOUBUZIDUANNEICHARUHUANXING,TIANJIARENYIXIANGYINGSHOUBUHUOZHUTIDEYIZHONGGONGJI。SHUYUBEIDONGSHIGONGJIMOSHI。

    HTTP首部注入攻击可能会造成以下影响:
    - 设置任何的Cookie
    - 重定向至任意URL
    荣耀彩票代理 - 显示任意的主体(HTTP响应式截断攻击)

    通过%0D%0A(表示HTTP报文中换行符),在HTTP请求头中的一个字段中,如Location:xxx…/?index=1%0D%0ASet-Cookie:123456789。
    荣耀彩票代理 因为%0D%0A表示换行,这样就会在HTTP请求头中额外的再加上一个头信息。这样攻击者就可以伪装成用户。


    HTTP响应式截断攻击

    HTTPXIANGYINGSHIJIEDUANGONGJISHIYONGZAIHTTPSHOUBUZHURUDEYIZHONGGONGJI。

    RUGUOWOMENZAIXIANGYINGTOUZHONGDETOUBUZIDUANZHONGJIANGLIANGGE%0d%0A%0D%0ABINGPAICHARUZIFUCHUANHOUFASONG。ZHEIYANGJIUHUAN2XING,JIUKEZUOWEIHTTPSHOUBUYUZHUTIBUFENFENGESUOXUDEKONGXINGLE。ZHEIYANGJIUKEYIWEIZAOZHUTI,DADAOGONGJIDEMUDE。

    荣耀彩票代理LIYONGZHEIGEGONGJI,YICHUFAXIANJINGDELIULANQIHUIXIANSHIWEIZAODEWebYEMIAN,ZAIRANGYONGHUSHURUZIJIDEXINXI,DADAOHEKUAZHANJIAOBENGONGJIXIANGTONGDEXIAOGUO。


    邮箱首部注入攻击

    YOUXIANGSHOUBUZHURU(Mail Header Injextion):SHIZHIWebYINGYONGZHONGDEYOUJIANFASONGGONGNENG,GONGJIZHETONGGUOXIANGYOUJIANSHOUBUToHUOSubjectNEIRENYITIANJIAFEIFANEIRONGFAQIDEGONGJI。

    LIYONGCUNZAIANQUANLOUDONGDEWebWANGZHAN,KEDUIRENYIYOUJIANDIZHIFASONGGUANGGAOYOUJIANHUOBINGDUYOUJIAN。

    %0D%0AZAIYOUJIANBAOWENZHONGDAIBIAOHUANXINGFU。YUHTTPSHOUBUZHURUHEHTTPXIANGYINGSHIJIEDUANXIANGSI。

    eg:
    在发送邮件的报文首部这样

    xxxxx%0D%0ABcc:user@example.com

    荣耀彩票代理JIUHUIHUANXING,DUIBccYOUJIANDIZHIZHUIJIAFASONG

    eg:
    如果这样

    xxxxxx%0D%0A%0D%0ATest Message

    JIUXIANGDANGYUHUAN2XING,JIUYOUKENENGCUANGAIYOUJIANWENBENNEIRONGBINGFASONG。

    再以相同的方法,就有可能改写To和Subject等任意邮件首部,或者向文本添加附件等动作


    目录遍历攻击

    MULUBIANLI(Directory Traversal):GONGJISHIZHIDUIBENWUYIGONGKAIDEWENJIANMULU,TONGGUOFEIFAJIEDUANQIMULULUJINGHOU,DACHENGFANGWENMUDEDEYIZHONGGONGJI。

    ZHEIZHONGGONGJIYOUSHIYECHENGWEILUJINGBIANLI(Path Traversal)GONGJI。

    MULUBIANLIXIANGJIE


    远程文件包含漏洞

    YUANCHENGWENJIANBAOHANLOUDONG(Remote File Inclusion):SHIZHIBUFENJIAOBENNEIRONGXUYAOCONGQITAWENJIANDURUSHI,GONGJIZHELIYONGZHIDINGWAIBUFUWUQIDEURLCHONGDANGYILAIWENJIAN,RANGJIAOBENDUQUZHIHOU,JIUKEYIYUNXINGRENYIJIAOBENGONGJI。

    ZHEIZHUYAOSHIPHPCUNZAIDEANQUANLOUDONG,DUIPHPDEincludeHUOrequireLAISHUO,ZHEISHIYIZHONGKETONGGUOSHEDING,ZHIDINGWAIBUFUWUQIDEURZUOWEIWENJIANMINGDEGONGNENG。DANGAIGONGNENGTAIWEIXIAN,PHP5.2.0ZHIHOUMORENSHEDINGCIGONGNENGWUXIAO。


    因设置或设计上的缺陷引发的安全漏洞

    强制浏览

    QIANGZHILIULAN(Forced Browsing)SHIZHI,CONGANZHIZAIWebFUWUQIDEGONGKAIMULUXIADEWENJIANZHONG,LIULANNEIXIEYUANBENFEIZIYUANGONGKAIDEWENJIAN。

    荣耀彩票代理QIANGZHILIULANYOUKENENGHUIZAOCHENGYIXIAYIXIEYINGXIANG。

    泄露顾客的个人信息等重要情报 泄露原本需要具有访问权限的用户才可查阅的信息内容 泄露未外连到外界的文件

    QIANGZHILIULANDEJIZHONGXINGSHI:

    WENJIANMULUYILAN

    TONGGUOZHIDINGMULUMINGCHENG,JIKEZAIWENJIANYILANZHONGKANDAOXIANSHIDEWENJIANMINGCHENG。

    eg: http://www.example.com/log/

    TUICEWENJIANMINGJIMULUMING

    WENJIANMINGCHENGRONGYIBEITUICE。

    http://www.example.com/entry/entry_081202.log
    备份文件
    http://www.example.com/cgi-bin/entry.cgi(原始文件)
    
    http://www.example.com/cgi-bin/entry.cgi~(备份文件)
    
    http://www.wxample.com/cgi-bin/entry.bak(备份文件)
    

    YOUBIANJIRUANJIANZIDONGSHENGCHENGDEBEIFENWENJIANWUZHIXINGQUANXIAN,YOUKENENGZHIJIEYIYUANDAIMAXINGSHIXIANSHI。

    JINGRENZHENGCAIKEXIANSHIDEWENJIAN

    ZHIJIETONGGUOURLFANGWENYUANBENBIXUJINGGUORENZHENGCAINENGZAIwebYEMIANSHANGSHIYONGDEWENJIAN(HTMLWENJIAN,TUPIAN,PDFDENGWENDANG,CSSJIQITASHUJU)。


    不正确的错误消息处理

    BUZHENGQUEDECUOWUXIAOXICHULI(Error Handing Vulnerability)DEANQUANLOUDONGSHIZHI,WebYINGYONGDECUOWUXINXINEIBAOHANDUIGONGJIZHEYOUYONGDEXINXI。

    荣耀彩票代理YUWebYINGYONGYOUGUANDEZHUYAOCUOWUXINXI:

    Web应用抛出的错误消息 数据库等系统抛出的错误信息

    荣耀彩票代理WebYINGYONGBUBIZAIYONGHUDELIULANHUAMIANSHANGZHANSHIXIANGXIDECUOWUXINXI。DUIGONGJIZHELAISHUO,XIANGXIDECUOWUXINXIKENENGJITAMENGONGJIZUOWEITISHI。


    开放重定向

    荣耀彩票代理KAIFANGZHONGDINGXIANG(Open Redirect)SHIYIZHONGDUIZHIDINGDERENYIURLZUOZHONGDINGXIANGTIAOZHUANDEGONGNENG。

    ERYUCIGONGNENGXIANGGUANLIANDEANQUANLOUDONGSHIZHI,JIARUZHIDINGDEZHONGDINGXIANGURLDAOMOUGEJUYOUEYIDEWebWANGZHAN,NEIMEYONGHUJIUHUIBEIYOUDAOZHINEIGEWebWANGZHAN。

    eg:

    荣耀彩票代理ZHEISHIYIGEURLFASHENGZHONGDINGXIANGTIAOZHUANDEZHENGCHANGQINGQIU

    http://example.com/?redirect=http://tricorder.jp

    DAN,RUGUOGONGJIZHEZHIDAO,redirectHOUMIANDELIANJIEHUANCHENGSHEZHIHAODEXIANJINGWebWANGZHANLIANJIE。RU:

    http://example.com/?redirect=http://hackr.jp

    ZHEIYANGJIUHUIZHIXIANGhackr.jp。

    如果可信度高的Web网站,开放重定向功能,则很可能被攻击者选中并用来作为钓鱼攻击的跳板。


    因会话管理疏忽引发的安全漏洞

    HUIHUAGUANLISHIYONGLAIGUANLIYONGHUZHUANGTAIDEBIBEIGONGNENG,DANSHIRUGUOZAIHUIHUAGUANLISHANGYOUSUOSHUHU,JIUHUIDAOZHIYONGHUDERENZHENGZHUANGTAIBEIQIEQUDENGHOUGUO。

    会话劫持

    荣耀彩票代理HUIHUAJIECHI(Session Hijack):SHIZHIGONGJIZHETONGGUOMOUZHONGSHOUDUANNADAOLEYONGHUDEHUIHUAID,BINGFEIFASHIYONGCIHUIHUAIDWEIZHUANGCHENGYONGHU,DADAOGONGJIDEMUDE。

    下面列举了几种攻击者可获得会话ID的途径:
    - 通过非正规的生成方法推测会话ID
    - 通过窃听或XSS攻击盗取会话ID
    - 通过会话固定攻击(Session Fixation)强行获取会话ID

    image

    会话固定攻击

    HUIHUAGUDINGGONGJI(Session Fixation):QIANGZHIYONGHUSHIYONGZHIZHIDINGDEHUIHUAID,SHUYUBEIDONGGONGJI。

    image

    荣耀彩票代理SHENRUQIANCHUSessionGONGJIFANGSHIZHIYIGUDINGHUIHUAID

    跨站点请求伪造

    KUAZHANDIANQINGQIUWEIZAO(Cross-Site Request Forgeries,CSRF)GONGJISHIZHIGONGJIZHETONGGUOSHEZHIHAODEXIANJING,QIANGZHIDUIYIWANCHENGRENZHENGDEYONGHUJINXINGFEIYUQIDEGERENXINXIHUOSHEDINGXINXIDENGMOUXIEZHUANGTAIGENGXIN,SHUYUBEIDONGGONGJI。

    跨站点请求伪造可能会造成以下影响:
    - 利用已通过认证的用户权限更新设定信息等
    - 利用已通过认证的用户权限购买商品
    - 利用已通过认证的用户权限在留言板上发表言论

    image


    其他安全漏洞

    密码破解

    密码破解攻击(Password荣耀彩票代理 Cracking)即算出密码,突破认证。

    密码破解的2种手段
    - 通过网络进行密码试错
    荣耀彩票代理 - 对加密密码进行破解

    通过网络进行密码试错

    主要有2种方式:
    - 穷举法
    - 字典攻击

    穷举法

    QIONGJUFAYOUCHENGWEIBAOLIPOJIEFA,SHIZHIDUISUOYOUMIYAOJIHEGOUCHENGMIYAOKONGJIAN,JINXINGQIONGJU。

    RU:YINXINGMIMA,000000-999999ZHONGDESHUZIZHUYIJINXINGCHANSHENGCHANGSHI,JIUKEYISHICHUZHENSHIMIMA。(DANGRAN,ZHINENGCHANGSHI3CI)

    字典攻击

    荣耀彩票代理ZIDIANGONGJISHIZHILIYONGSHIXIANSHOUJIHAODEHOUXUANMIMA(JINGGUOGEZHONGZUHEFANGSHIHOUCUNRUZIDIAN),MEIJUZIDIANZHONGDEMIMA,CHANGSHITONGGUORENZHENGDEYIZHONGGONGJISHOUFA。

    荣耀彩票代理RU:YOUXIERENXIHUANYONGSHENGRIZUOWEIMIMA,KEYIJIANGSHENGRIRIQISHUZHIHUA,0101-1231BAOCUNWEIZIDIAN,JINXINGCHANGSHI。

    字典攻击与穷举法相比,需要尝试的候选密码较少,攻击耗费的时间较短;当然字典中如果没有正确密码,就无法破解,但是穷举法必定会找到一个正确的密码


    对已加密密码的破解

    WebYINGYONGZAIBAOCUNMIMASHI,YIBANBUHUIZHIJIEYIMINGWENDEFANGSHIBAOCUN,TONGGUOSANLIEZUOCHULIHUOsalt(JIAYAN)CHULI。RUGUOXIANGHUOQUMIMA,JIUXUYAOJIEMICHENGMINGWENXINGSHI。

    荣耀彩票代理CONGJIAMIGUODESHUJUZHONGDAORUMINGWENTONGCHANGYOUYIXIAJIZHONGFANGFA:

    通过穷举法·字典攻击进行类推 彩虹表 拿到密钥 加密算法的漏洞

    通过穷举法·字典攻击进行类推

    RU:POJIEMD5ZHI。TONGGUODUIDALIANGDEZIFUCHUANJINXINGMD5SUANFACHULI,RANHOUYIYIPIPEISHIFOUXIANGDENG。

    彩虹表
    彩虹表:是由明文密码及与之对应的散列值构成的一张数据表,是一种事先制作庞大的彩虹表,可在穷举法·字典攻击等实际破解过程中缩短消耗时间的技巧。

    image

    拿到密钥
    拿到密钥,破解密码。

    加密算法的漏洞
    考虑算法漏洞,利用漏洞尝试解密。(困难太大,不易成功)

    点击劫持

    DIANJIJIECHI(Click jacking):SHIZHILIYONGTOUMINGDEANNIUHUOLIANJIEZUOCHENGXIANJING,FUGAIZAIWebYEMIANSHANG。RANHOUYOUSHIYONGHUZAIBUZHIQINGDEQINGKUANGXIA,DIANJIANNIU,FANGWENLIANJIE。ZHEIZHONGXINGWEIYOUCHENGWEIJIEMIANWEIZHUANG(UIRedressing)。

    Dos攻击

    荣耀彩票代理DosGONGJI(Denial of Service attack):SHIYIZHONGRANGYUNXINGZHONGDEFUWUCHENGTINGZHIZHUANGTAIDEGONGJI。YOUSHIYEJIAOZUOFUWUTINGZHIGONGJIHUOJUJUEFUWUGONGJI。

    Dos攻击的两种攻击方式:
    - 集中利用访问请求造成资源过载,资源用尽的同时,实际上服务也就呈停止状态。
    - 通过攻击安全漏洞使服务头停止。

    荣耀彩票代理QIZHONG,JIZHONGLIYONGFANGWENQINGQIUDEDosGONGJI,DANCHUNLAIJIANGJIUSHIFASONGDALIANGDEHEFAQINGQIU。FUWUQIHENNANFENBIANHEWEIZHENGCHANGQINGQIU,HEWEIGONGJIQINGQIU,YINCIHENNANFANGZHIDosGONGJI。

    多台计算机发起的Dos攻击称为DDos攻击(Distributed Denial of Service attack)

    DDosGONGJITONGCHANGLIYONGNEIXIEGANRANBINGDUDEJISUANJIZUOWEIGONGJIZHEDEGONGJITIAOBAN。

    后门程序

    荣耀彩票代理HOUMENCHENGXU(Backdoor):SHIZHIKAIFASHEZHIDEYINZANGRUKOU,KEBUANBUZHENGCHANGBUZHOUSHIYONGSHOUXIANGONGNENG。LIYONGHOUMENCHENGXUJIUNENGSHIYONGYUANBENSHOUXIANZHIDEGONGNENG。

    通常的后门程序分为以下3中类型:
    - 开发阶段作为Debug调用的后门程序
    - 开发者为了自身利益置入的后门程序
    荣耀彩票代理 - 攻击者通过某种方法设置的后门程序

    荣耀彩票代理KETONGGUOJIANTINGJINCHENGHETONGXINDEZHUANGTAIFAXIANBEIZHIRUDEHOUMENCHENGXU。DANSHEDINGZAIWebYINGYONGZHONGDEHOUMENCHENGXU,YOUYUHEZHENGCHANGSHIYONGSHIQUBIEBUDA,TONGCHANGHENNANFAXIAN。

延伸阅读:

About IT165 - 广告服务 - 隐私声明 - 版权申明 - 免责条款 - 网站地图 - 网友投稿 - 联系方式
本站内容来自于互联网,仅供用于网络技术学习,学习中请遵循相关法律法规