通過在用戶可控參數中注入 SQL 語法,破壞原有 SQL 結構,達到編寫程序時意料之外結果的攻擊行為。其成因可以歸結為以下兩個原因疊加造成的:
1. 程序編寫者在處理應用程序和數據庫交互時,使用字符串拼接的方式構造 SQL 語句
2. 未對用戶可控參數進行足夠的過濾便將參數內容拼接進入到 SQL 語句中
跨站腳本攻擊(Cross Site Scripting),為不和層疊樣式表(Cascading Style Sheets,CSS)的縮寫混淆,故將跨站腳本攻擊縮寫為 XSS。惡意攻擊者往 WEB 頁面里插入惡意 HTML 代碼,當用戶瀏覽該頁之時,嵌入其中 Web 里面的 HTML 代碼會被執行,從而達到惡意攻擊用戶的特殊目的。
當應用需要調用一些外部程序去處理內容的情況下,就會用到一些執行系統命令的函數。如 PHP 中的 system、exec、shell_exec 等,當用戶可以控制命令執行函數中的參數時,將可以注入惡意系統命令到正常命令中,造成命令執行攻擊。這里還是主要以 PHP 為主介紹命令執行漏洞,Java 等應用的細節待補充。
如果允許客戶端用戶輸入控制動態包含在服務器端的文件,會導致惡意代碼的執行及敏感信息泄露,主要包括本地文件包含和遠程文件包含兩種形式。
跨站請求偽造(Cross-Site Request Forgery,CSRF)是一種使已登錄用戶在不知情的情況下執行某種動作的攻擊。因為攻擊者看不到偽造請求的響應結果,所以 CSRF 攻擊主要用來執行動作,而非竊取用戶數據。當受害者是一個普通用戶時,CSRF 可以實現在其不知情的情況下轉移用戶資金、發送郵件等操作;但是如果受害者是一個具有管理員權限的用戶時 CSRF 則可能威脅到整個 WEB 系統的安全。
**屏蔽敏感詞**F 服務器端請求偽造
**屏蔽敏感詞**F(Server-Side Request Forgery:服務器端請求偽造)是一種由攻擊者構造形成由服務端發起請求的一個安全漏洞。一般情況下,**屏蔽敏感詞**F 攻擊的目標是從外網無法訪問的內部系統。
在網站的運營過程中,不可避免地要對網站的某些頁面或者內容進行更新,這時便需要使用到網站的文件上傳的功能。如果不對被上傳的文件進行限制或者限制被繞過,該功能便有可能會被利用於上傳可執行文件、腳本到服務器上,進而進一步導致服務器淪陷。
Clickjacking(點擊劫持)是由互聯網安全專家羅伯特·漢森和耶利米·格勞斯曼在 2008 年首創的。
是一種視覺欺騙手段,在 WEB 端就是 iframe 嵌套一個透明不可見的頁面,讓用戶在不知情的情況下,點擊攻擊者想要欺騙用戶點擊的位置。
由於點擊劫持的出現,便出現了反 frame 嵌套的方式,因為點擊劫持需要 iframe 嵌套頁面來攻擊。
下面代碼是最常見的防止 frame 嵌套的例子:
if(top.location!=location)
top.location=self.location;
VPS(Virtual Private Server 虛擬專用服務器)技術,將一部服務器分割成多個虛擬專享服務器的優質服務。實現 VPS 的技術分為容器技術,和虛擬化技術。在容器或虛擬機中,每個 VPS 都可分配獨立公網 IP 地址、獨立操作系統、實現不同 VPS 間磁盤空間、內存、CPU 資源、進程和系統配置的隔離,為用戶和應用程序模擬出獨占使用計算資源的體驗。VPS 可以像獨立服務器一樣,重裝操作系統,安裝程序,單獨重啟服務器。VPS 為使用者提供了管理配置的自由,可用於企業虛擬化,也可以用於 IDC 資源租用。
IDC 資源租用,由 VPS 提供商提供。不同 VPS 提供商所使用的硬件 VPS 軟件的差異,及銷售策略的不同,VPS 的使用體驗也有較大差異。尤其是 VPS 提供商超賣,導致實體服務器超負荷時,VPS 性能將受到極大影響。相對來說,容器技術比虛擬機技術硬件使用效率更高,更易於超賣,所以一般來說容器 VPS 的價格都低於虛擬機 VPS 的價格。
條件競爭漏洞是一種服務器端的漏洞,由於服務器端在處理不同用戶的請求時是並發進行的,因此,如果並發處理不當或相關操作邏輯順序設計的不合理時,將會導致此類問題的發生。
XXE Injection 即 XML External Entity Injection,也就是 XML 外部實體注入攻擊.漏洞是在對非安全的外部實體數據進⾏行處理時引發的安全問題。
在 XML 1.0 標准里,XML 文檔結構⾥里定義了實體(entity)這個概念.實體可以通過預定義在文檔中調用,實體的標識符可訪問本地或遠程內容.如果在這個過程中引入了「污染」源,在對 XML 文檔處理后則可能導致信息泄漏等安全問題。
由於網站開發者在使用 Flash、Silverlight 等進行開發的過程中的疏忽,沒有對跨域策略文件(crossdomain.xml)進行正確的配置導致問題產生。 例如:
<cross-domain-policy>
<allow-access-from domain=“*”/>
</cross-domain-policy>
因為跨域策略文件配置為 *,也就指任意域的 Flash 都可以與它交互,導致可以發起請求、獲取數據。
越權漏洞是 WEB 應用程序中一種常見的安全漏洞。它的威脅在於一個賬戶即可控制全站用戶數據。當然這些數據僅限於存在漏洞功能對應的數據。越權漏洞的成因主要是因為開發人員在對數據進行增、刪、改、查詢時對客戶端請求的數據過分相信而遺漏了權限的判定。所以測試越權就是和開發人員拼細心的過程。
敏感信息指不為公眾所知悉,具有實際和潛在利用價值,丟失、不當使用或未經授權訪問對社會、企業或個人造成危害的信息。包括:個人隱私信息、業務經營信息、財務信息、人事信息、IT 運維信息等。 泄露途徑包括 Github、百度文庫、Google code、網站目錄等。
Security Misconfiguration:有時候,使用默認的安全配置可能會導致應用程序容易遭受多種攻擊。在已經部署的應用、WEB 服務器、數據庫服務器、操作系統、代碼庫以及所有和應用程序相關的組件中,都應該使用現有的最佳安全配置,這一點至關重要。
Web 應用防護系統(也稱:網站應用級入侵防御系統。英文:Web Application Firewall,簡稱:WAF)。利用國際上公認的一種說法:WEB 應用防火牆是通過執行一系列針對 HTTP/HTTPS 的安全策略來專門為 WEB 應用提供保護的一款產品。
IDS 是英文 Intrusion Detection Systems 的縮寫,中文意思是「入侵檢測系統」。專業上講就是依照一定的安全策略,通過軟、硬件,對網絡、系統的運行狀況進行監視,盡可能發現各種攻擊企圖、攻擊行為或者攻擊結果,以保證網絡系統資源的機密性、完整性和可用性。做一個形象的比喻:假如防火牆是一幢大樓的門鎖,那么 IDS 就是這幢大樓里的監視系統。一旦小偷爬窗進入大樓,或內部人員有越界行為,只有實時監視系統才能發現情況並發出警告。
入侵防御系統(IPS:Intrusion Prevention System)是電腦網絡安全設施,是對防病毒軟件(Antivirus Programs)和防火牆(Packet Filter,Application Gateway)的補充。入侵預防系統(Intrusion-prevention system)是一部能夠監視網絡或網絡設備的網絡資料傳輸行為的計算機網絡安全設備,能夠即時的中斷、調整或隔離一些不正常或是具有傷害性的網絡資料傳輸行為。