51Testing软件测试论坛

 找回密码
 (注-册)加入51Testing

QQ登录

只需一步,快速开始

微信登录,快人一步

手机号码,快捷登录

查看: 6366|回复: 9
打印 上一主题 下一主题

{有奖问答}常见的 Web 应用攻击有哪些?

[复制链接]

该用户从未签到

跳转到指定楼层
1#
发表于 2008-2-26 11:32:35 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
{有奖问答}常见的 Web 应用攻击有哪些?
分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
收藏收藏
回复

使用道具 举报

该用户从未签到

2#
发表于 2008-2-26 14:52:05 | 只看该作者
跨网站脚本攻击
注入攻击
恶意文件执行
不安全对象引用  
伪造跨站点请求  
信息泻露和不正确的错误处理  
被破坏的认证和 Session 管理 。
不安全的木马存储  
不安全的通讯  
URL访问限制失效
:lo

[ 本帖最后由 ivaniccy 于 2008-2-26 14:58 编辑 ]
回复 支持 反对

使用道具 举报

该用户从未签到

3#
发表于 2008-3-6 16:21:23 | 只看该作者
跨站点脚本攻击 (XSS)
cookie 重放攻击
代码注入
会话攻击
网络侦听
信息泄漏
标识欺骗
参数操作
回复 支持 反对

使用道具 举报

该用户从未签到

4#
发表于 2008-3-11 09:24:17 | 只看该作者
# “ 跨站点脚本攻击 ”
# “ 注入缺陷攻击 ”
# Malicious File Execution (恶意文件执行);
# Insecure Direct Object Reference (不安全的直接对象引用);
# Cross-Site Request Forgery (跨站点的请求伪造);
# Information Leakage and Improper Error Handling (信息泄漏和不正确的错误处理);
# Broken Authentication & Session Management (损坏的认证和 Session 管理);
# Insecure Cryptographic Storage (不安全的密码存储);
# Insecure Communications (不安全的通信);
# Failure to Restrict URL Access (未能限制 URL 访问)

[ 本帖最后由 cjh0901 于 2008-3-11 09:52 编辑 ]
回复 支持 反对

使用道具 举报

该用户从未签到

5#
发表于 2008-3-12 23:24:49 | 只看该作者
一是利用Web服务器的漏洞进行攻击,如CGI缓冲区溢出,目录遍历漏洞利用等攻击;二是利用网页自身的安全漏洞进行攻击,如SQL 注入,跨站脚本攻击等。常见的针对Web 应用的攻击有:
AppRock 保护应用安全的专家 WHITE PAPER
缓冲区溢出——攻击者利用超出缓冲区大小的请求和构造的二进制代码
让服务器执行溢出堆栈中的恶意指令
Cookie假冒——精心修改cookie数据进行用户假冒
认证逃避——攻击者利用不安全的证书和身份管理
非法输入——在动态网页的输入中使用各种非法数据,获取服务器敏感
数据
强制访问——访问未授权的网页
隐藏变量篡改——对网页中的隐藏变量进行修改,欺骗服务器程序
拒绝服务攻击——构造大量的非法请求,使Web服务器不能相应正常用
户的访问
跨站脚本攻击——提交非法脚本,其他用户浏览时盗取用户帐号等信息
SQL 注入——构造SQL 代码让服务器执行,获取敏感数据

[ 本帖最后由 gxb153 于 2008-3-12 23:27 编辑 ]
回复 支持 反对

使用道具 举报

该用户从未签到

6#
发表于 2008-3-15 19:27:47 | 只看该作者
1、跨网站脚本攻击
2、注入攻击
3、恶意文件执行
4、不安全对象引用  
5、伪造跨站点请求  
6、信息泻露和不正确的错误处理  
7、被破坏的认证和 Session 管理 。
8、不安全的木马存储  
9、不安全的通讯  
10、URL访问限制失效
回复 支持 反对

使用道具 举报

该用户从未签到

7#
发表于 2008-3-17 00:30:27 | 只看该作者
跨站点脚本攻击(Cross Site Scripting Flaws)、
注入式攻击(Injection Flaws)、
失效的访问控制(Broken Access Control)、
缓存溢出问题(Buffer Overflows)等
Authentication(验证)
用来确认某用户、服务或是应用身份的攻击手段。
Authorization(授权)
用来决定是否某用户、服务或是应用具有执行请求动作必要权限的攻击手段。
Client-Side Attacks(客户侧攻击)
用来扰乱或是探测 Web 站点用户的攻击手段。
Command Execution(命令执行)
在 Web 站点上执行远程命令的攻击手段。
Information Disclosure(信息暴露)
用来获取 Web 站点具体系统信息的攻击手段。
Logical Attacks(逻辑性攻击)
用来扰乱或是探测 Web 应用逻辑流程的攻击手段
回复 支持 反对

使用道具 举报

该用户从未签到

8#
发表于 2008-3-17 19:24:20 | 只看该作者
Open Web Application Security Project(OWASP)组织总结了目前 Web 应用最常受到的十种攻击手段:
Cross Site Scripting (XSS) Flaws 跨网站脚本攻击
Injection Flaws 注入攻击
Malicious File Execution恶意文件执行
Insecure Direct Object Reference不安全对象引用
Cross-Site Request Forgery伪造跨站点请求
Information Leakage and Improper Error Handling信息泄漏和不正确的错误处理
Broken Authentication & Session Management被破坏的认证和 Session 管理
Insecure Cryptographic Storage不安全的密码存储
Insecure Communications不安全的通讯
Failure to Restrict URL Access URL 访问限制失效
回复 支持 反对

使用道具 举报

该用户从未签到

9#
发表于 2008-4-2 10:33:55 | 只看该作者
楼上的同学都已经回答完毕了:)

我们碰到最多的是

XSS
CSRF
SQL Inject
回复 支持 反对

使用道具 举报

该用户从未签到

10#
发表于 2008-7-11 16:09:12 | 只看该作者
多谢分享,先下来看看!!
回复 支持 反对

使用道具 举报

本版积分规则

关闭

站长推荐上一条 /1 下一条

小黑屋|手机版|Archiver|51Testing软件测试网 ( 沪ICP备05003035号 关于我们

GMT+8, 2024-11-19 05:50 , Processed in 0.188322 second(s), 28 queries .

Powered by Discuz! X3.2

© 2001-2024 Comsenz Inc.

快速回复 返回顶部 返回列表