web渗透
web应用架构设计到的组件
Web Browser/Client (通常为我们的浏览器)
Web Server(通常为网站所在服务器)
Web app(通常为部署网站的后台应用)
DB(数据库,数据存储所在)
如图所示
受到的攻击类型
1、URL interpretation attacks(URL解释攻击):浏览器是通过 URL 来访问一个网站,而在 URL 中显示一些请求的参数,若是安全级别较低的网站,我们甚至可以通过 URL 访问到服务器上的一些敏感数据;
2、Input Validation attacks(输入验证攻击):浏览器这一端发往HTTP服务端请求数据包皆为输入,而若是服务端没有对输入的数据做严格的校验,就可能呗有机可趁;
3、SQL Injection attacks(SQL注入攻击):网站中我们会注册用户,登陆用户等等的操作,而这样的操作都会涉及到数据库,而若是服务端没有很好的控制就会造成不用密码就可登陆,甚至是修改一些敏感的数据;
4、Buffer Overflow attacks(缓冲区溢出攻击):通过网络连接的原理使得服务端无法为用户提供正常的网络服务,例如 DDos 攻击就是这样。
攻击类型衍生的攻击方式
XSS(Cross Site Script,跨站脚本攻击)
Cross Site Request Forgery (CSRF, 跨站请求伪造)
Session hijacking attack(Session 挟持)
File inclusion vulnerability(文件包含漏洞)
file upload attack(文件上传攻击)
Weak Password Vulnerability(弱密码暴力破解)
webshell(web 后门攻击)
SQL Injection(SQL 注入)
Distributed Denial of Service (DDoS, 分布式拒绝服务
网友评论