常见web系统攻击方式归纳
2015-07-26 00:22
239 查看
常见web系统攻击方式归纳:
sql注入:常见于分页功能或者查询功能,对于传入的参数未进行安全字符转义或者过滤。一些需要提交字符数据的位置也是攻击目标点。
跨站脚本攻击:此种攻击常见与使用了用户编辑富内容的页面,攻击者通过跨战脚本盗取认证凭据或者其他关键性信息,一般在于对嵌入的js没有进行非html转义。
cookie窃取:此种攻击常见于使用的认证凭据是cookie内容过于单一,没有使用ip、时效性周期令牌等环境或者动态认证手段。
系统内跨用户数据攻击:常见于数据获取检查不严格,未清晰定义用户数据权限边界,对于提交的数据未进行严格检查以及所有权核对。攻击者通过猜测数据id获取不属于自身的数据,或者通过工具插入或者修改不属于自身的数据
用户密码暴力破解:一般是未对同一用户的高频登陆请求进行限制,对于高频请求应该在响应有限次数后对同一用户或者对应高频请求的ip限制一段较长时间的响应。此处如果单一对用户限制响应而不考虑ip地址,可能造成用户无法正常登陆。如果单一限制ip,由于目前移动网络可能有一批用户使用相同的ip发生请求,会造成批量用户的拒绝服务。
用户密码召回暴力破解:此问题和问题5有很大的相似性,差异在于如果使用的手机验证码找回方式,如果对于高频请求也不做处理的话也存在被暴力破解的问题。如果进行处理则存在和上面相同问题。
sql注入:常见于分页功能或者查询功能,对于传入的参数未进行安全字符转义或者过滤。一些需要提交字符数据的位置也是攻击目标点。
跨站脚本攻击:此种攻击常见与使用了用户编辑富内容的页面,攻击者通过跨战脚本盗取认证凭据或者其他关键性信息,一般在于对嵌入的js没有进行非html转义。
cookie窃取:此种攻击常见于使用的认证凭据是cookie内容过于单一,没有使用ip、时效性周期令牌等环境或者动态认证手段。
系统内跨用户数据攻击:常见于数据获取检查不严格,未清晰定义用户数据权限边界,对于提交的数据未进行严格检查以及所有权核对。攻击者通过猜测数据id获取不属于自身的数据,或者通过工具插入或者修改不属于自身的数据
用户密码暴力破解:一般是未对同一用户的高频登陆请求进行限制,对于高频请求应该在响应有限次数后对同一用户或者对应高频请求的ip限制一段较长时间的响应。此处如果单一对用户限制响应而不考虑ip地址,可能造成用户无法正常登陆。如果单一限制ip,由于目前移动网络可能有一批用户使用相同的ip发生请求,会造成批量用户的拒绝服务。
用户密码召回暴力破解:此问题和问题5有很大的相似性,差异在于如果使用的手机验证码找回方式,如果对于高频请求也不做处理的话也存在被暴力破解的问题。如果进行处理则存在和上面相同问题。
相关文章推荐
- Codeforces Round #313
- 05-图2. Saving James Bond - Easy Version (25)
- uva 1379(dp)
- 关于jdk的并发集合
- Android触摸机制
- linux下的软件管理器之DPKG
- Nodejs总结
- C语言int类型指针指向char类型变量简单实例
- redis(五)-redis.conf
- 关于指针的++
- GeekBand第二周线下课堂
- JS 父窗口向子窗口传值问题(window.open())
- 又来折腾啦
- 第一百一十四天 how can I 坚持
- ListView的adapter中getView方法一直调用
- Android Framework 记录之一
- 关于Github 的 Watch , Star和Fork
- 一个全新的开始。
- iOS8 SDK新特性之扩展详解
- [LeetCode]Kth Smallest Element in a BST