web安全分类
一. xss
原理
用户在web页面插入恶意的JavaScript代码,其他用户在浏览该网页时候,该JavaScript代码执行达到恶意攻击用户目的.
分类
- 盗取各类用户帐号
- 控制企业数据,包括读取、篡改、添加、删除企业敏感数据的能力
- 盗窃企业重要的具有商业价值的资料
- 非法转账
- 强制发送电子邮件
- 网站挂马
- 控制受害者机器向其它网站发起攻击
- 蠕虫
预防
- 输出过滤,编码
- 输入长度限制
- 禁止加载外域代码,cap策略
二. csrf
原理
用户可以根据凭证来访问目标网站,攻击者不获取用户凭证,利用构造表单诱使用户点击(用户自带凭证),达到触发目标网站目的.
危害
三. ssrf
原理
服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容,加载指定地址的图片,下载等,未经过滤恶意输入,在服务器端执行命令
危害
四. sql注入
原理
用户发送恶意的sql语句,在服务端数据库中执行.
分类
- 按照参数类型分类分为字符型和数字型
- 按照数据库返回结果分为回显,报错注入,盲注
- 按照注入位置分为: post注入, get注入, cookie注入, 盲注, 延时注入, 搜索注入, base64注入
预防
- 过滤用户输入
- 预编译
- 不用拼接SQL字符串。
- 过滤SQL需要的参数中的特殊字符。比如单引号、双引号。
五. 命令执行
原理
直接调用操作系统命令
分类
- 尽量少的调用执行系统命令的函数,通过黑名单的方式过滤敏感函数.
六. 敏感信息泄露
个人信息泄露的主要途径包括经营者未经本人同意收集个人信息,经营者或不法分子故意泄露、出售或者非法向他人提供个人信息,网络服务系统存有漏洞,不法分子通过木马病毒、钓鱼网站等手段盗取、骗取个人信息等。
- 敏感信息传输
- 敏感信息显示
- 客户端注释
- 错误处理测试
七. 任意文件上传
原理
正常逻辑,导致web请求可以上传文件
危害
执行代码后获取服务或服务器权限
预防
- 上传路径限制,文件权限
- 过滤和检查用户输入
八. 任意文件下载
原理
不正确编码导致web请求可以任意文件
危害
九. 源码泄露
公司代码泄露
十. DDoS
原理
利用大量请求伪造,造成服务端资源过载,导致服务不可用.
攻击分类
- TCP半链接缩短超时时间
- 流量清洗
- 负载均衡,流量分流
- 加载缓慢网页做缓存.
- 限制或封禁高请求ip