首页 >> 网络安全 >>渗透测试 >> Web渗透测试漏洞利用总结
详细内容

Web渗透测试漏洞利用总结

网站中可被 利用的任何缺陷 被黑客称为网站漏洞。毫无疑问,有许多用于保护网站免受网络威胁的安全系统。但是,很多时候,黑客仍然设法找到安全漏洞以穿透您的网站。成功破解您的网站后,他就可以访问管理面板。现在,他可以在您的网站上显示任何可能损害您在市场上声誉的信息。一些邪恶的人现在拥有有关您的业务,客户和客户的重要信息。他可以将这些信息用于自己的利益,而最糟糕的事情是删除您的网站文件和数据库。因此,在开发和部署网站时,应始终考虑所有可能的安全威胁并采取必要的预防措施。


SQL 注入

这是一种代码注入攻击。进行代码注入攻击的黑客将一段代码插入计算机程序中。被感染程序的执行为他提供了计算机程序或应用程序的访问权限。由于网站的数据库包含有关Web应用程序的客户,客户或其他用户的敏感信息,为了摆脱这些机密信息,攻击者试图使用SQL注入获得对数据库的访问。攻击者首先找到要包含在SQL查询中的输入。然后,攻击者插入该查询中包含的并由服务器执行的恶意有效负载。现在,攻击者可以创建,读取,更新,更改和删除数据库中维护的记录。用户输入验证和验证不正确的网站总是容易出现SQL注入。要从SQL注入中保存您的网站,请始终验证并验证用户提供的输入。

身份验证会话管理中断

与会话管理和身份验证相关的功能实现不正确会导致这种类型的漏洞。利用此漏洞,攻击者可以窃取会话ID或密码。攻击者可以是外部代理或授权用户。外部和内部代理都使用盗用的用户名和密码来冒充授权用户来访问他们无权访问的内容。由于开发人员构建的错误的自定义身份验证和会话管理方案,该漏洞可能存在于网站中。正确,谨慎地开发自定义身份验证和会话管理方案,以防止破坏的身份验证和会话管理很重要。使用复杂的密码,一次限制登录尝试的次数,加强密码控制,

跨站点脚本(XSS):

像SQL注入一样,它是另一种代码注入攻击,其中恶意代码注入到网站中并在浏览器中执行。网站在输出中使用用户输入的内容而未进行任何验证和加密的情况总是容易发生XSS。在这种攻击中,浏览器是间接目标。当受害者访问受感染的页面时,恶意JavaScript代码将传递到浏览器。一旦执行了此恶意代码,攻击者便可以访问Cookie之类的对象。由于会话令牌存储在cookie中,攻击者可以获取用户的用户名和密码,窃取存储在浏览器中的其他数据,甚至可以远程控制浏览器。为避免这种类型的攻击,应对基于输入参数的输出进行编码,应对输入参数和基于输入参数的输出进行特殊字符过滤。

不安全的直接对象引用:

当开发人员公开对内部对象的引用时,网站很容易受到不安全的直接对象引用的攻击。此内部对象可以是文件,目录,数据库记录和数据库密钥。利用此漏洞的攻击者是具有有限特权的授权用户。用户可以通过直接参考该对象更改参数值来访问未经授权访问的对象。大多数情况下,Web应用程序不检查用户是否有权访问该对象。因此,强制执行访问策略以确保用户具有访问该对象的权限很重要。正确的测试和代码分析有助于识别Web应用程序中的这些缺陷。

安全配置错误:

Web应用程序的组件可能会由于配置不安全而遭受安全威胁。如果您坚持使用默认配置(例如使用默认用户名和密码),则攻击者可以轻松享受管理员的特权。不必要地启用了服务,脚本,配置文件,示例文件等,可能导致在Web服务器,平台,数据库,应用程序服务器和其他应用程序堆栈级别上的配置错误。开发人员和管理员都必须发挥自己的作用,以确保Web应用程序的安全配置。可以通过部署自动扫描仪来检测由于配置不安全而导致的安全漏洞。开发网站时,开发人员应实施加密算法来加密敏感数据。而且,跟踪跟踪器必须对用户隐藏。

跨站请求伪造(CSRF):

在这种攻击中,攻击者诱骗网站的授权用户执行不需要的操作,例如更改密码,转移资金等,受害者甚至不知道。在这种攻击中,授权用户在不知不觉中将恶意请求发送到受信任的网站。考虑以下示例:
  1. 授权用户登录提供在线银行服务的网站(例如baidu.com)。
  2. 现在,攻击者诱骗用户访问恶意网站。
  3. 恶意网站将使用受害者的浏览器将请求发送到MyBank.com。由于用户已经登录MyBank.com,因此攻击者可以通过冒充受害者来执行任何交易。

在用户当前会话中包含令牌是针对CSRF的最佳预防措施。每当创建用户会话时,都会生成一个令牌,该令牌将附加到该会话期间发送的每个请求中。然后,服务器使用它来确保该请求是合法请求。令牌是一个长值,不容易猜测。但是,为了提高安全性,用户应:

  1. 当他登录银行或其他类似网站时,切勿访问任何其他网站。
  2. 作业完成后,请务必注销。
  3. 永远不要保存登录凭据。

远程执行代码:

在远程执行代码中,攻击者利用服务器漏洞在服务器中执行系统级代码。通过执行此代码,攻击者可以检索或更改存储在服务器中的信息。大多数情况下,由于编码错误,这些漏洞在服务器中存在。必须修复服务器中的所有安全漏洞,以保护它免受远程代码执行漏洞的侵害。

用户名枚举:

应用程序中存在此漏洞,显示错误消息以告知提供的用户名是否有效。这有助于攻击者在尝试使用不同的用户名登录后识别有效的用户名。此外,开发人员总是创建琐碎的帐户来进行测试。管理员/管理员,测试/测试,以及开发人员使用的其他一些常见用户名/密码组合。但是,他们经常忘记删除攻击者可以使用的这些帐户。除登录页面外,攻击者还可以尝试注册,更改密码和忘记密码页面。首先,必须删除这些可猜测的用户名/密码组合。考虑一个登录页面;应用程序应显示“错误的用户名/密码组合”错误,而不是显示“用户名不存在”和“错误的密码”。现在,攻击者永远无法知道输入的用户名是否有效。同样,在注册,忘记密码和更改密码时,错误消息也不应显示有效的用户名或电子邮件地址。

结论

那些有错误意图的人总是在网站的盔甲中寻找缺陷。因此,应该考虑所有类型的漏洞来开发和部署网站。此外,定期更新,严格的访问控制,网络安全,安装防火墙和安全应用程序,部署SSL以及其他几种方法来保护网站。定期备份至关重要。万一您的网站被黑,您将不会丢失数据。

技术支持: 建站ABC | 管理登录
返回顶部 seo seo