行業資訊
                        首頁 -

                        行業資訊

                         
                        更好的了解網站漏洞帶來的不利之處
                         
                        Web應用的漏洞分類

                        1、信息泄露漏洞

                        由于Web服務器或應用程序沒有正確處理一些特殊請求,泄露Web服務器的一些敏感信息,如用戶名、密碼、源代碼、服務器信息、配置信息等。


                        原因分析:

                        --Web服務器配置存在問題,導致一些系統文件或者配置文件暴露在互聯網中;

                        --Web服務器本身存在漏洞,在瀏覽器中輸入一些特殊的字符,可以訪問未授權的文件或者動態腳本文件源碼;

                        --Web網站的程序編寫存在問題,對用戶提交請求沒有進行適當的過濾,直接使用用戶提交上來的數據。

                        2、目錄遍歷漏洞
                        目錄遍歷漏洞是攻擊者向Web服務器發送請求,通過在URL中或在有特殊意義的目錄中附加“../”、或者附加“../”的一些變形(如“..\”或“..//”甚至其編碼),導致攻擊者能夠訪問未授權的目錄,以及在Web服務器的根目錄以外執行命令。

                        3、命令執行漏洞

                        命令執行漏洞是通過URL發起請求,在Web服務器端執行未授權的命令,獲取系統信息,篡改系統配置,控制整個系統,使系統癱瘓等。

                        命令執行漏洞主要有兩種情況:

                        --通過目錄遍歷漏洞,訪問系統文件夾,執行指定的系統命令;

                        --攻擊者提交特殊的字符或者命令,Web程序沒有進行檢測或者繞過Web應用程序過濾,把用戶提交的請求作為指令進行解析,導致執行任意命令。

                        命令執行漏洞是通過URL發起請求,在Web服務器端執行未授權的命令,獲取系統信息,篡改系統配置,控制整個系統,使系統癱瘓等。

                        4、文件包含漏洞

                        文件包含漏洞是由攻擊者向Web服務器發送請求時,在URL添加非法參數,Web服務器端程序變量過濾不嚴,把非法的文件名作為參數處理。這些非法的文件名可以是服務器本地的某個文件,也可以是遠端的某個惡意文件。由于這種漏洞是由php變量過濾不嚴導致的,所以只有基于PHP開發的Web應用程序才有可能存在文件包含漏洞。


                        5、SQL注入漏洞


                        SQL注入漏洞是由于Web應用程序沒有對用戶輸入數據的合法性進行判斷,攻擊者通過Web頁面的輸入區域(如URL、表單等) ,用精心構造的SQL語句插入特殊字符和指令,通過和數據庫交互獲得私密信息或者篡改數據庫信息。SQL注入攻擊在Web攻擊中非常流行,攻擊者可以利用SQL注入漏洞獲得管理員權限,在網頁上加掛木馬和各種惡意程序,盜取企業和用戶敏感信息。

                        6、跨站腳本漏洞

                        跨站腳本漏洞是因為Web應用程序時沒有對用戶提交的語句和變量進行過濾或限制,攻擊者通過Web頁面的輸入區域向數據庫或HTML頁面中提交惡意代碼,當用戶打開有惡意代碼的鏈接或頁面時,惡意代碼通過瀏覽器自動執行,從而達到攻擊的目的?缯灸_本漏洞危害很大,尤其是目前被廣泛使用的網絡銀行,通過跨站腳本漏洞攻擊者可以冒充受害者訪問用戶重要賬戶,盜竊企業重要信息。 

                        根據前期各個漏洞研究機構的調查顯示,SQL注入漏洞和跨站腳本漏洞的普遍程度排名前兩位,造成的危害也更加巨大。



                        客戶服務:13813743420
                        技術支持:0513-88932069
                        QQ客服:點擊這里給我發消息
                        QQ客服:點擊這里給我發消息
                        蘇公網安備 32062102000219號 蘇ICP備16021227號-1  版權所有:南通協達軟件有限公司
                        地址:江蘇省海安市人民東路58號35號樓4F 咨詢手機:13813743420 聯系人:張先生 技術支持:0513-88932069
                        Copyright 2011-2019 www.smwlen.cn All rights reserved. 網站蜘蛛 網站脈搏
                        友情鏈接:剪板機廠家 三輥卷板機 上海討債公司 海安保安服務 南通不銹鋼管 南通華蓋電子 測功機 數控滾圓機 折彎機
                        不怕连挂的倍投