web攻击
常见Web漏洞原理及修复方法
XSS攻击
指的是跨脚本攻击,指的是攻击者在网页中嵌套,恶意脚本程序,当用户打开网页时,程序开始在浏览器上启动,盗取用户的cooks,从而盗取密码等信息,下载执行木马程序。
CSRF攻击
CSRF攻击的全称是跨站请求伪造(cross site request forgery), 是一种对网站的恶意利用,你可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义向第三方网站发送恶意请求。CRSF能做的事情包括利用你的身份发邮件、发短信、进行交易转账等等,甚至盗取你的账号。
SQL注入攻击
所谓SQL注入,就是通过把SQL命令伪装成正常的HTTP请求参数,传递到服务端,欺骗服务器最终执行恶意的SQL命令,达到入侵目的。攻击者可以利用SQL注入漏洞,查询非授权信息, 修改数据库服务器的数据,改变表结构,甚至是获取服务器root权限。总而言之,SQL注入漏洞的危害极大,攻击者采用的SQL指令,决定攻击的威力。当前涉及到大批量数据泄露的攻击事件,大部分都是通过利用SQL注入来实施的
文件上传漏洞
文件上传的时候,没有对于文件的类型进行处理,从而导致攻击者上传了一些恶意的脚本程序,从而达到攻击的目的。
DDoS攻击
分布式拒绝服务攻击
渗透(Penetration Testing)
是什么(概念)
渗透测试(Penetration Testing),也称为Pen Testing,是测试计算机系统、网络或Web应用程序以发现攻击者可能利用的安全漏洞的实践。渗透测试可以通过软件应用自动化或手动执行。无论哪种方式,该过程都包括在测试之前收集关于目标的信息,识别可能的入口点,试图闯入(虚拟的或真实的)并报告结果。
做什么
渗透测试有助于识别未知的漏洞;
帮助检查总体安全政策的有效性;
帮助测试公开的组件,如防火墙、路由器和DNS;
让用户找出最易受攻击的路线 ;
帮助发现可能导致敏感数据被盗的漏洞。
安全测试工具
引用安全测试工具
端口扫描器Nmap(第一受欢迎黑客工具)
手动分析包工具Wireshark(第二受欢迎黑客工具)
用于排查、分析网络问题和网络入侵。Wireshark是个抓包工具,或者更确切的说,它是一个有效的分析数据包的开源平台。