51Testing软件测试论坛
标题:
{有奖问答}常见的 Web 应用攻击有哪些?
[打印本页]
作者:
fishy
时间:
2008-2-26 11:32
标题:
{有奖问答}常见的 Web 应用攻击有哪些?
{有奖问答}常见的 Web 应用攻击有哪些?
作者:
ivaniccy
时间:
2008-2-26 14:52
跨网站脚本攻击
注入攻击
恶意文件执行
不安全对象引用
伪造跨站点请求
信息泻露和不正确的错误处理
被破坏的认证和 Session 管理 。
不安全的木马存储
不安全的通讯
URL访问限制失效
:lo
[
本帖最后由 ivaniccy 于 2008-2-26 14:58 编辑
]
作者:
fly_3118
时间:
2008-3-6 16:21
跨站点脚本攻击 (XSS)
cookie 重放攻击
代码注入
会话攻击
网络侦听
信息泄漏
标识欺骗
参数操作
作者:
cjh0901
时间:
2008-3-11 09:24
# “ 跨站点脚本攻击 ”
# “ 注入缺陷攻击 ”
# Malicious File Execution (恶意文件执行);
# Insecure Direct Object Reference (不安全的直接对象引用);
# Cross-Site Request Forgery (跨站点的请求伪造);
# Information Leakage and Improper Error Handling (信息泄漏和不正确的错误处理);
# Broken Authentication & Session Management (损坏的认证和 Session 管理);
# Insecure Cryptographic Storage (不安全的密码存储);
# Insecure Communications (不安全的通信);
# Failure to Restrict URL Access (未能限制 URL 访问)
[
本帖最后由 cjh0901 于 2008-3-11 09:52 编辑
]
作者:
gxb153
时间:
2008-3-12 23:24
一是利用Web服务器的漏洞进行攻击,如CGI缓冲区溢出,目录遍历漏洞利用等攻击;二是利用网页自身的安全漏洞进行攻击,如SQL 注入,跨站脚本攻击等。常见的针对Web 应用的攻击有:
AppRock 保护应用安全的专家 WHITE PAPER
缓冲区溢出——攻击者利用超出缓冲区大小的请求和构造的二进制代码
让服务器执行溢出堆栈中的恶意指令
Cookie假冒——精心修改cookie数据进行用户假冒
认证逃避——攻击者利用不安全的证书和身份管理
非法输入——在动态网页的输入中使用各种非法数据,获取服务器敏感
数据
强制访问——访问未授权的网页
隐藏变量篡改——对网页中的隐藏变量进行修改,欺骗服务器程序
拒绝服务攻击——构造大量的非法请求,使Web服务器不能相应正常用
户的访问
跨站脚本攻击——提交非法脚本,其他用户浏览时盗取用户帐号等信息
SQL 注入——构造SQL 代码让服务器执行,获取敏感数据
[
本帖最后由 gxb153 于 2008-3-12 23:27 编辑
]
作者:
ruanyongjie
时间:
2008-3-15 19:27
1、跨网站脚本攻击
2、注入攻击
3、恶意文件执行
4、不安全对象引用
5、伪造跨站点请求
6、信息泻露和不正确的错误处理
7、被破坏的认证和 Session 管理 。
8、不安全的木马存储
9、不安全的通讯
10、URL访问限制失效
作者:
唐恭明
时间:
2008-3-17 00:30
跨站点脚本攻击(Cross Site Scripting Flaws)、
注入式攻击(Injection Flaws)、
失效的访问控制(Broken Access Control)、
缓存溢出问题(Buffer Overflows)等
Authentication(验证)
用来确认某用户、服务或是应用身份的攻击手段。
Authorization(授权)
用来决定是否某用户、服务或是应用具有执行请求动作必要权限的攻击手段。
Client-Side Attacks(客户侧攻击)
用来扰乱或是探测 Web 站点用户的攻击手段。
Command Execution(命令执行)
在 Web 站点上执行远程命令的攻击手段。
Information Disclosure(信息暴露)
用来获取 Web 站点具体系统信息的攻击手段。
Logical Attacks(逻辑性攻击)
用来扰乱或是探测 Web 应用逻辑流程的攻击手段
作者:
happygod
时间:
2008-3-17 19:24
Open Web Application Security Project(OWASP)组织总结了目前 Web 应用最常受到的十种攻击手段:
Cross Site Scripting (XSS) Flaws 跨网站脚本攻击
Injection Flaws 注入攻击
Malicious File Execution恶意文件执行
Insecure Direct Object Reference不安全对象引用
Cross-Site Request Forgery伪造跨站点请求
Information Leakage and Improper Error Handling信息泄漏和不正确的错误处理
Broken Authentication & Session Management被破坏的认证和 Session 管理
Insecure Cryptographic Storage不安全的密码存储
Insecure Communications不安全的通讯
Failure to Restrict URL Access URL 访问限制失效
作者:
liangjz
时间:
2008-4-2 10:33
楼上的同学都已经回答完毕了:)
我们碰到最多的是
XSS
CSRF
SQL Inject
作者:
wang006
时间:
2008-7-11 16:09
多谢分享,先下来看看!!
欢迎光临 51Testing软件测试论坛 (http://bbs.51testing.com/)
Powered by Discuz! X3.2