對網(wǎng)站進(jìn)行應(yīng)用攻擊的手段主要有哪些？

1、被破壞的認(rèn)證和 Session 管理——Session token 沒有被很好的保護 在用戶推出系統(tǒng)后，黑客能夠盜竊 session。

2、DNS攻擊——黑客利用DNS漏洞進(jìn)行欺騙DNS服務(wù)器，從而達(dá)到使DNS解析不正常，IP地址被轉(zhuǎn)向?qū)е戮W(wǎng)站服務(wù)器無法正常打開。DNS攻擊主要是域名劫持，是指在劫持的網(wǎng)絡(luò)范圍內(nèi)攔截域名解析的請求，分析請求的域名，把審查范圍以外的請求放行，否則返回假的IP地址或者什么都不做使請求失去響應(yīng)，其效果就是對特定的網(wǎng)絡(luò)不能訪問或訪問的是假網(wǎng)址。

3、緩沖區(qū)溢出——攻擊者利用超出緩沖區(qū)大小的請求和構(gòu)造的二進(jìn)制代碼讓服務(wù)器執(zhí)行溢出堆棧中的惡意指令。緩沖區(qū)溢出是一種非常普遍、非常危險的漏洞，在各種操作系統(tǒng)、應(yīng)用軟件中廣泛存在。利用緩沖區(qū)溢出攻擊，可以導(dǎo)致程序運行失敗、系統(tǒng)宕機、重新啟動等后果。更為嚴(yán)重的是，可以利用它執(zhí)行非授權(quán)指令，甚至可以取得系統(tǒng)特權(quán)，進(jìn)而進(jìn)行各種非法操作。

4、Cookie假冒——精心修改cookie數(shù)據(jù)進(jìn)行用戶假冒。Cookies欺騙是通過盜取、修改、偽造Cookies的內(nèi)容來欺騙Web系統(tǒng),并得到相應(yīng)權(quán)限或者進(jìn)行相應(yīng)權(quán)限操作的一種攻擊方式。正如我們所知道的，在網(wǎng)絡(luò)詞匯中，cookie是一個特殊的信息，雖然只是服務(wù)器存于用戶計算機上的一個文本文件，但由于其內(nèi)容的不尋常性(與服務(wù)器有一定的互交性，且常會存儲用戶名，甚至口令，或是其它一些敏感信息，例如在江湖或是一些社區(qū)中，常會用cookie來保存用戶集分，等級等等)。因而成為一些高手關(guān)注的對象，借此來取得特殊權(quán)限，甚至攻克整個網(wǎng)站。

5、SQL注入——構(gòu)造SQL代碼讓服務(wù)器執(zhí)行，獲取敏感數(shù)據(jù)。通過把SQL命令插入到Web表單提交或輸入域名或頁面請求的查詢字符串，最終達(dá)到欺騙服務(wù)器執(zhí)行惡意的SQL命令。具體來說，它是利用現(xiàn)有應(yīng)用程序，將（惡意的）SQL命令注入到后臺數(shù)據(jù)庫引擎執(zhí)行的能力，它可以通過在Web表單中輸入（惡意）SQL語句得到一個存在安全漏洞的網(wǎng)站上的數(shù)據(jù)庫，而不是按照設(shè)計者意圖去執(zhí)行SQL語句。

6、URL 訪問限制失效——黑客可以訪問非授權(quán)的資源連接強行訪問一些登陸網(wǎng)頁、歷史網(wǎng)頁。

7、認(rèn)證逃避——攻擊者利用不安全的證書和身份管理。

8、非法輸入——在動態(tài)網(wǎng)頁的輸入中使用各種非法數(shù)據(jù)，獲取服務(wù)器敏感數(shù)據(jù)。

9、拒絕服務(wù)攻擊——構(gòu)造大量的非法請求，使Web服務(wù)器不能響應(yīng)正常用戶的訪問。拒絕服務(wù)攻擊即是攻擊者想辦法讓目標(biāo)機器停止提供服務(wù)，是黑客常用的攻擊手段之一。其實對網(wǎng)絡(luò)帶寬進(jìn)行的消耗性攻擊只是拒絕服務(wù)攻擊的一小部分，只要能夠?qū)δ繕?biāo)造成麻煩，使某些服務(wù)被暫停甚至主機死機，都屬于拒絕服務(wù)攻擊。

10、跨站腳本攻擊——提交非法腳本，其他用戶瀏覽時盜取用戶帳號等信息。用戶在瀏覽網(wǎng)站、使用即時通訊軟件、甚至在閱讀電子郵件時，通常會點擊其中的鏈接。攻擊者通過在鏈接中插入惡意代碼，就能夠盜取用戶信息。攻擊者通常會用十六進(jìn)制（或其他編碼方式）將鏈接編碼，以免用戶懷疑它的合法性。網(wǎng)站在接收到包含惡意代碼的請求之后會產(chǎn)成一個包含惡意代碼的頁面，而這個頁面看起來就像是那個網(wǎng)站應(yīng)當(dāng)生成的合法頁面一樣。許多流行的留言本和論壇程序允許用戶發(fā)表包含HTML和javascript的帖子。假設(shè)用戶甲發(fā)表了一篇包含惡意腳本的帖子，那么用戶乙在瀏覽這篇帖子時，惡意腳本就會執(zhí)行，盜取用戶乙的session信息。

11、強制訪問——訪問未授權(quán)的網(wǎng)頁。

12、隱藏變量篡改——對網(wǎng)頁中的隱藏變量進(jìn)行修改，欺騙服務(wù)器程序。

網(wǎng)頁標(biāo)題：對網(wǎng)站進(jìn)行應(yīng)用攻擊的手段主要有哪些？
文章鏈接：http://www.muchs.cn/news/223637.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供靜態(tài)網(wǎng)站、外貿(mào)建站、建站公司、網(wǎng)頁設(shè)計公司、微信公眾號、動態(tài)網(wǎng)站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)