首页 > 其他分享 >web应用安全问题的分类(一)

web应用安全问题的分类(一)

时间:2023-06-21 11:23:42浏览次数:32  
标签:web 攻击 分类 用户 安全 应用 攻击者 服务器 页面

一、客户端脚本安全问题

  • 跨站脚本攻击(XSS):XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。
  • 跨站请求伪造(CSRF):一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本XSS相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户浏览器的信任。
  • 点击劫持(Clickjacking):一种视觉欺骗攻击手段,将用户对页面 A 的操作转移到隐藏的页面 B 上(通常使用iframe标签,设置透明度来实现),以此达到让用户在不知情的情况下完成 B 页面上的特定任务,达到非法目的。其中,可以转移的操作有 “点击”、“拖拽”、“滑动” 等。主要劫持目标是含有重要会话交互的页面,如银行交易页面、后台管理页面等。
  • 网站钓鱼:欺骗用户的虚假网站。“钓鱼网站”的页面与真实网站界面基本一致,欺骗消费者或者窃取访问者提交的账号和密码信息。钓鱼网站一般只有一个或几个页面,和真实网站差别细微,通常伪装成银行及电子商务、窃取用户提交的银行账号、密码等私密信息的网站。

二、服务端应用安全问题

  • 认证与会话安全:攻击者通过劫持sessionId,冒充登录用户对一些需要登录认证的页面进行非法访问,sessionId一般保存在Cookie中,受到浏览器同源策略的保护,但是也可以作为URL参数传递(极不安全),如果Cookie被劫持也有可能导致sessionId被窃取。
  • 访问控制安全:访问控制是在认证以后的另一道安全屏障,也称为权限控制,访问控制是按用户身份及其所归属的某项定义组来限制用户对某些信息项的访问,或限制对某些控制功能的使用的一种技术。常见的访问控制漏洞有水平越权、垂直越权、未授权访问、目录遍历四种,可能会对服务器或Web系统造成较大的危害。
  • 加密算法安全:密码算法在使用过程中往往面临着参数选择问题,如果使用了不安全的选项或参数,将导致严重的安全问题。可能导致不安全参数的情况有:使用弱长度密钥,使用低熵值随机数。
  • SQL注入攻击:SQL注入攻击是一种利用应用程序漏洞的攻击方式。攻击者通过在表单提交的数据上构造SQL语句,如果web应用不去验证这些数据,就有可能注入到SQL中,拼接成非法的SQL语句,从而获取数据库中的敏感信息,修改或删除数据库中的数据,或者完全控制Web服务器。
  • 文件上传漏洞:如果WEB应用在文件上传过程中没有对文件的安全性进行有效的校验,攻击者可以通过上传Webshell等恶意文件对服务器进行攻击。
  • Web框架漏洞:这些漏洞通常来自于Java框架、.NET框架的自身漏洞。
  • 拒绝服务攻击:攻击者想办法让目标机器停止提供服务,是黑客常用的攻击手段之一。其实对网络带宽进行的消耗性攻击只是拒绝服务攻击的一小部分,只要能够对目标造成麻烦,使某些服务被暂停甚至主机死机,都属于拒绝服务攻击。攻击者进行拒绝服务攻击,实际上让服务器实现两种效果:一是迫使服务器的缓冲区满,不接收新的请求;二是使用IP欺骗,迫使服务器把非法用户的连接复位,影响合法用户的连接。
  • 开发语言安全:编成语言自身的漏洞。
  • Web服务器配置安全:web服务器都有一系列的安全设置,以保护 Web 服务器免受各种安全威胁和攻击,确保 Web 服务器的可用性、机密性和完整性。通常包括操作系统和软件安全更新、网络防御配置、数据传输加密、日志监控等模块。

三、业务逻辑安全问题

  业务逻辑漏洞挖掘一直是安全测试中“经久不衰”的话题。相比SQL注入、XSS漏洞等传统安全漏洞,现在的攻击者更倾向于利用业务逻辑层的应用安全问题,这类问题往往危害巨大,并且传统的安全防御设备和措施收效甚微。主要包括如下几方面:

  • 前端绕过:前端校验只能增加用户体验,后端校验才能真正保障接口安全性,一切来自前端的数据都不可信。
  • 数据重放:数据重复提交,通常攻击者会将盗取已经发送过的数据再次提交以欺骗服务器返回数据,或者导致服务器重复操作。
  • 流程绕过:业务逻辑拆分需考虑风险,防止用户绕过某些节点,执行后面的流程。
  • 高并发攻击:业务端的条件竞争,一般的方法是设置锁来防范。
  • 暴力破解:利用计算机程序自动化地生成可能的密码组合,并将其提交到目标系统进行验证,直到验证通过。

四、数据库安全问题

  数据库安全是指采取各种安全措施对数据库及其相关文件和数据进行保护。数据库系统的重要指标之一是确保系统安全,以各种防范措施防止非授权使用数据库,主要通过DBMS实现的。数据库系统中一般采用用户标识和鉴别、存取控制、视图以及密码存储等技术进行安全控制。

  数据库安全的核心和关键是其数据安全。数据安全是指以保护措施确保数据的完整性、保密性、可用性、可控性和可审查性。由于数据库存储着大量的重要信息和机密数据,而且在数据库系统中大量数据集中存放,供多用户共享,因此,必须加强对数据库访问的控制和数据安全防护。

 

标签:web,攻击,分类,用户,安全,应用,攻击者,服务器,页面
From: https://www.cnblogs.com/zqhIndex/p/17493780.html

相关文章

  • Electron Vue Vite 开发桌面应用
    我需要使用Electron,VUE3,Vite开发一个桌面应用,接收来自串口的数据,并使用Plotly绘制随时间变化的曲线,请提供开发步骤,项目文件结构好的,以下是一个基本的Electron+Vue3+Vite应用的开发步骤:确保您已经安装了Node.js和npm。安装VueCLI:npminstall-g@vue/cli创建......
  • 企业应用开发圣经
    2003年Jolt生产效率奖得主2003年SoftwareDevelopment杂志读者选择大奖得主2003年JavaWorld.com编辑选择奖得主媒体评论      “本书是企业级应用设计与开发领域的杰作,处处闪烁着思想的光芒,发人深省。”——Jolt奖颁奖词 企业应用开发圣经软件开发大师代表......
  • 世界知名XML专家力作 ——《重构HTML:改善Web应用的设计》
    世界知名XML——《重构HTML:改善Web媒体评论Elliotte的著作在我的书架上始终占据一席之地。……他通过本书把重构的益处带入了HTML世界。                                   ——MartinFowler ......
  • 10个具体项目生动精彩讲述JavaScript;超级Web应用,构建不再困难
     “JavaScript,就是那种小时候长得很丑,长大了却谁都想要的孩子。”诞生初期,由于很多所谓的“资深”程序员的滥用,让这个孩子饱受质疑,直到前几年DOM技术开始崛起,JavaScript才逐渐恢复了曾经的兴盛。并且,这时的JavaScript更多了一份成熟,少了一缕稚气。JavaScript虽然已经被当......
  • Martin Fowler谈《重构HTML:改善Web应用的设计》
    MartinFowler谈《重构HTML:改善Web仅仅十余年,Web就从一门大有希望的技术演变成了世界基础设施的重要组成部分。在这个绚丽迷人的年代中,涌现了许多有用的资源。一如往常,我们在追求最佳实践的过程中不断地学习技术,而技术本身的成熟也促使我们更好地使用它。无论多么复杂的Web应......
  • 通付盾升级数信云4.0,利用人工智能、区块链及Web3安全技术助力数据要素市场化
    数据作为新型生产要素已成为数字时代的核心生产力。人工智能、区块链、云计算等新兴技术提升了数据要素的使用效率,开启数字化浪潮。但同时,以“数据上云”为代表的数据应用趋势也带来了数据安全、数据隐私和数据共享难等一系列阻碍数据要素化的问题。2022年12月国务院发布《关于构建......
  • 深入揭示Web 2.0核心技术——混搭
    《Web2.0Mashup开发实战》任何一本书想要做到面面俱到都不易。但拿到《Web2.0Mashup开发实战》这本书时,我却觉得这确实是一本内容相当全面的教材。翻开目录,XML、JavaScript、SOAP、Ajax……各种与Web应用和开发相关的词都跃入眼帘。是的,从混搭的理念出发,我们就是要把所有相关的......
  • PHP Web 2.0开发实战
    如何使用ZendFramework、Smarty、Ajax创建一流的网站 “读完本书后,我发现自己对Web开发和MVC模式的理解都已经今非昔比……强烈推荐此书!”——Amazon.com “……一部极富启发性的PHP实战指导书,业界专家充分演示了如何使用ZendFramework、Smarty、A......
  • SpringBoot之MVC配置(WebMvcConfigurer详解)
    一:基本介绍SpringMVC是一种常用的JavaWeb框架,它提供了一种基于MVC模式的开发方式,可以方便地实现Web应用程序。在SpringMVC中,WebMvcConfigurer是一种常用的配置方式,可以允许我们自定义SpringMVC的行为,比如添加拦截器、消息转换器等。在本文中,我们将介绍什么是WebMvcConfi......
  • 自然语言处理 Paddle NLP - 情感分析技术及应用-理论
    自然语言处理PaddleNLP-信息抽取技术及应用定义:对带有感情色彩的主观性文本进行分析、处理、归纳和推理的过程主观性文本分析:技术难点背景知识电视机的声音小(消极)电冰箱的声音小(积极)反讽/隐晦情感表达:我觉得你的香水不错,你应该关起窗户省着点闻(消极)网......