我们看一下入侵攻击阶段介绍的第三部分,第二章攻击阶段。第一个是web应用入侵,第二个是绕过ips防火墙以及密罐,第三个是web服务器入侵,第四个是拒绝服务缓冲区溢出漏洞。首先我们来看web应用入侵,随着web2.0网络社交等一系列新型的互联网产品的诞生,基于web环境的互联网应用越来越广泛,企业信息化过程中越来越多的应用都架设在web平台上,web业务的迅速发展吸引了黑客们的强烈关注。接踵而至的就是。web安全威胁的凸显。黑客利用网站操作系统的漏洞和web服务程序的SQL注入漏洞,得到web服务器的控制权限。轻则就是来篡改一下网页的内容,重则就是窃取重要的内部数据,或者说进行删除修改。更为严重的则是。在网页中植入恶意的代码,使得网站的访问者受到侵害,获取访问者的cookie信息、银行卡密码、银行卡账号等等一些内容。
就比如先前的很多影视网站泄露VIP会员密码,大多都是通过web表单递交查询字符暴露出的。这类表单特别。容易受到SQL注入式的攻击。Web应用程序漏洞介绍。web应用是指。采用BS架构,通过HTTP https协议提供的服务的总称。随着互联网的广泛使用。label应用已经融入到日常生活中的各个方面。有网上购物、网络银行应用、证券。股票交易、审批等等。在这些web访问中大多数应用都是使用的不是静态的网页浏览,而是涉及到服务器的动态处理。在这个时候如果Java、PHP、ASP等程序语言的编程人员安全意识不足的话,这就会对程序的参数输入等检查不严格。会导致web应用安全问题层出不穷。
首先是信息泄露,由于web服务器或者应用程序没有正确处理一些特殊请求,泄露外部服务器的一些敏感信息,比如有用户名、密码、源代码、服务器信息,还有配置信息等等。造成信息泄露主要有以下三种原因。第一个就是web服务器配置存在着问题,它就会导致一些系统文件或者配置文件暴露在互联网中。
第二个就是web服务器本身存在漏洞。在浏览器中输入一些特殊的字符,可以访问没有授权的文件或者动态脚本文件源源码。第三个就是外部网站的程序编写存在问题。对用户提交请求没有进行适当的顾虑,直接使用用户提交上来的数据。信息泄露在最近几年也是比较频发的。第二个就是目录遍历。目录便利漏洞是攻击者向外部服务器发送请求。通过在URL中或者在有特殊意义的目录中,附加点斜杠或者附加点斜杠的一些变形,导致攻击者能够访问未经授权的目录,以及在web服务器的根目录以外执行命令。
点斜杠是指当前目录点点斜杠是负目录,斜杠就是指的是根目录。再者就是命令执行漏洞,它是通过URL发起请求。在web服务器系统。执行未授权的命令,获取系统信息,篡改系统配置,控制整个系统最终使系统瘫痪。通过命令执行漏洞主要有两种情况,第一个是通过目录遍历漏洞。来访问系统文件夹,执行指定的系统命令。第二个就是攻击者提交特殊的字符或者命令,web程序没有进行检测,或者直接绕过web应用程序的过滤,再把用户提交的请求作为指令进行解析,导致执行任意命令。