打印

{有奖问答}常见的 Web 应用攻击有哪些？

fishy

小鱼

论坛管理员

Rank: 9 Rank: 9 Rank: 9

生如夏花

为人民服务好版主勋章

1^# 大中小发表于 2008-2-26 11:32 只看该作者

{有奖问答}常见的 Web 应用攻击有哪些？

新手必读:论坛积分制度

TOP

ivaniccy

中级站友

Rank: 3 Rank: 3

2^# 大中小发表于 2008-2-26 14:52 只看该作者

跨网站脚本攻击
注入攻击
恶意文件执行
不安全对象引用
伪造跨站点请求
信息泻露和不正确的错误处理
被破坏的认证和 Session 管理。
不安全的木马存储
不安全的通讯
URL访问限制失效
:lo

[ 本帖最后由 ivaniccy 于 2008-2-26 14:58 编辑 ]

TOP

fly_3118

中级站友

Rank: 3 Rank: 3

3^# 大中小发表于 2008-3-6 16:21 只看该作者

跨站点脚本攻击 (XSS)
cookie 重放攻击
代码注入
会话攻击
网络侦听
信息泄漏
标识欺骗
参数操作

TOP

cjh0901

中级站友

Rank: 3 Rank: 3

4^# 大中小发表于 2008-3-11 09:24 只看该作者

# “ 跨站点脚本攻击 ”
# “ 注入缺陷攻击 ”
# Malicious File Execution （恶意文件执行）；
# Insecure Direct Object Reference （不安全的直接对象引用）；
# Cross-Site Request Forgery （跨站点的请求伪造）；
# Information Leakage and Improper Error Handling （信息泄漏和不正确的错误处理）；
# Broken Authentication & Session Management （损坏的认证和 Session 管理）；
# Insecure Cryptographic Storage （不安全的密码存储）；
# Insecure Communications （不安全的通信）；
# Failure to Restrict URL Access （未能限制 URL 访问）

[ 本帖最后由 cjh0901 于 2008-3-11 09:52 编辑 ]

TOP

gxb153

新手上路

Rank: 1

5^# 大中小发表于 2008-3-12 23:24 只看该作者

一是利用Web服务器的漏洞进行攻击，如CGI缓冲区溢出，目录遍历漏洞利用等攻击；二是利用网页自身的安全漏洞进行攻击，如SQL 注入，跨站脚本攻击等。常见的针对Web 应用的攻击有:
AppRock 保护应用安全的专家 WHITE PAPER
缓冲区溢出——攻击者利用超出缓冲区大小的请求和构造的二进制代码
让服务器执行溢出堆栈中的恶意指令
Cookie假冒——精心修改cookie数据进行用户假冒
认证逃避——攻击者利用不安全的证书和身份管理
非法输入——在动态网页的输入中使用各种非法数据，获取服务器敏感
数据
强制访问——访问未授权的网页
隐藏变量篡改——对网页中的隐藏变量进行修改，欺骗服务器程序
拒绝服务攻击——构造大量的非法请求，使Web服务器不能相应正常用
户的访问
跨站脚本攻击——提交非法脚本，其他用户浏览时盗取用户帐号等信息
SQL 注入——构造SQL 代码让服务器执行，获取敏感数据

[ 本帖最后由 gxb153 于 2008-3-12 23:27 编辑 ]

TOP

ruanyongjie

超级版主

Rank: 8 Rank: 8

荣誉勋章为人民服务好版主勋章

6^# 大中小发表于 2008-3-15 19:27 只看该作者

1、跨网站脚本攻击
2、注入攻击
3、恶意文件执行
4、不安全对象引用
5、伪造跨站点请求
6、信息泻露和不正确的错误处理
7、被破坏的认证和 Session 管理。
8、不安全的木马存储
9、不安全的通讯
10、URL访问限制失效

TOP

唐恭明

新手上路

Rank: 1

7^# 大中小发表于 2008-3-17 00:30 只看该作者

跨站点脚本攻击（Cross Site Scripting Flaws）、
注入式攻击（Injection Flaws）、
失效的访问控制（Broken Access Control）、
缓存溢出问题（Buffer Overflows）等
Authentication（验证）
用来确认某用户、服务或是应用身份的攻击手段。
Authorization（授权）
用来决定是否某用户、服务或是应用具有执行请求动作必要权限的攻击手段。
Client-Side Attacks（客户侧攻击）
用来扰乱或是探测 Web 站点用户的攻击手段。
Command Execution（命令执行）
在 Web 站点上执行远程命令的攻击手段。
Information Disclosure（信息暴露）
用来获取 Web 站点具体系统信息的攻击手段。
Logical Attacks（逻辑性攻击）
用来扰乱或是探测 Web 应用逻辑流程的攻击手段

TOP

happygod

中级站友

Rank: 3 Rank: 3

8^# 大中小发表于 2008-3-17 19:24 只看该作者

Open Web Application Security Project（OWASP）组织总结了目前 Web 应用最常受到的十种攻击手段：
Cross Site Scripting (XSS) Flaws 跨网站脚本攻击
Injection Flaws 注入攻击
Malicious File Execution恶意文件执行
Insecure Direct Object Reference不安全对象引用
Cross-Site Request Forgery伪造跨站点请求
Information Leakage and Improper Error Handling信息泄漏和不正确的错误处理
Broken Authentication & Session Management被破坏的认证和 Session 管理
Insecure Cryptographic Storage不安全的密码存储
Insecure Communications不安全的通讯
Failure to Restrict URL Access URL 访问限制失效

TOP

liangjz

版主

Rank: 7 Rank: 7 Rank: 7

为人民服务好版主勋章

9^# 大中小发表于 2008-4-2 10:33 只看该作者

楼上的同学都已经回答完毕了：）

我们碰到最多的是

XSS
CSRF
SQL Inject

TOP

wang006

高级站友

Rank: 4

10^# 大中小发表于 2008-7-11 16:09 只看该作者

多谢分享，先下来看看！！

TOP

见证一段历程，点亮一盏明灯！	《51测试天地》第十一期即将发布	IBM敏捷开发最佳实践工具包	软件测试每周一问，答帖有奖
北京软件测试沙龙开始报名~	NEW~第二十四周版主贡献排行榜	高端课程打造高薪人才	软件测试培训签订合同保证就业