国产精品高潮呻吟久久av换脸-久草av资源-成年网址-www.jjzz日本|www.zhihuanche.com
<li id="212s2"><tbody id="212s2"><dl id="212s2"></dl></tbody></li>
<rt id="212s2"></rt>
行業(yè)資訊
首頁(yè)
-
行業(yè)資訊
更好的了解網(wǎng)站漏洞帶來(lái)的不利之處
Web應(yīng)用的漏洞分類
1、信息泄露漏洞
由于Web服務(wù)器或應(yīng)用程序沒(méi)有正確處理一些特殊請(qǐng)求,泄露Web服務(wù)器的一些敏感信息,如用戶名、密碼、源代碼、服務(wù)器信息、配置信息等。
原因分析:
--Web服務(wù)器配置存在問(wèn)題,導(dǎo)致一些系統(tǒng)文件或者配置文件暴露在互聯(lián)網(wǎng)中;
--Web服務(wù)器本身存在漏洞,在瀏覽器中輸入一些特殊的字符,可以訪問(wèn)未授權(quán)的文件或者動(dòng)態(tài)腳本文件源碼;
--Web網(wǎng)站的程序編寫存在問(wèn)題,對(duì)用戶提交請(qǐng)求沒(méi)有進(jìn)行適當(dāng)?shù)倪^(guò)濾,直接使用用戶提交上來(lái)的數(shù)據(jù)。
2、目錄遍歷漏洞
目錄遍歷漏洞是攻擊者向Web服務(wù)器發(fā)送請(qǐng)求,通過(guò)在URL中或在有特殊意義的目錄中附加“../”、或者附加“../”的一些變形(如“..\”或“..//”甚至其編碼),導(dǎo)致攻擊者能夠訪問(wèn)未授權(quán)的目錄,以及在Web服務(wù)器的根目錄以外執(zhí)行命令。
3、命令執(zhí)行漏洞
命令執(zhí)行漏洞是通過(guò)URL發(fā)起請(qǐng)求,在Web服務(wù)器端執(zhí)行未授權(quán)的命令,獲取系統(tǒng)信息,篡改系統(tǒng)配置,控制整個(gè)系統(tǒng),使系統(tǒng)癱瘓等。
命令執(zhí)行漏洞主要有兩種情況:
--通過(guò)目錄遍歷漏洞,訪問(wèn)系統(tǒng)文件夾,執(zhí)行指定的系統(tǒng)命令;
--攻擊者提交特殊的字符或者命令,Web程序沒(méi)有進(jìn)行檢測(cè)或者繞過(guò)Web應(yīng)用程序過(guò)濾,把用戶提交的請(qǐng)求作為指令進(jìn)行解析,導(dǎo)致執(zhí)行任意命令。
命令執(zhí)行漏洞是通過(guò)URL發(fā)起請(qǐng)求,在Web服務(wù)器端執(zhí)行未授權(quán)的命令,獲取系統(tǒng)信息,篡改系統(tǒng)配置,控制整個(gè)系統(tǒng),使系統(tǒng)癱瘓等。
4、文件包含漏洞
文件包含漏洞是由攻擊者向Web服務(wù)器發(fā)送請(qǐng)求時(shí),在URL添加非法參數(shù),Web服務(wù)器端程序變量過(guò)濾不嚴(yán),把非法的文件名作為參數(shù)處理。這些非法的文件名可以是服務(wù)器本地的某個(gè)文件,也可以是遠(yuǎn)端的某個(gè)惡意文件。由于這種漏洞是由php變量過(guò)濾不嚴(yán)導(dǎo)致的,所以只有基于PHP開發(fā)的Web應(yīng)用程序才有可能存在文件包含漏洞。
5、SQL注入漏洞
SQL注入漏洞是由于Web應(yīng)用程序沒(méi)有對(duì)用戶輸入數(shù)據(jù)的合法性進(jìn)行判斷,攻擊者通過(guò)Web頁(yè)面的輸入?yún)^(qū)域(如URL、表單等) ,用精心構(gòu)造的SQL語(yǔ)句插入特殊字符和指令,通過(guò)和數(shù)據(jù)庫(kù)交互獲得私密信息或者篡改數(shù)據(jù)庫(kù)信息。SQL注入攻擊在Web攻擊中非常流行,攻擊者可以利用SQL注入漏洞獲得管理員權(quán)限,在網(wǎng)頁(yè)上加掛木馬和各種惡意程序,盜取企業(yè)和用戶敏感信息。
6、跨站腳本漏洞
跨站腳本漏洞是因?yàn)閃eb應(yīng)用程序時(shí)沒(méi)有對(duì)用戶提交的語(yǔ)句和變量進(jìn)行過(guò)濾或限制,攻擊者通過(guò)Web頁(yè)面的輸入?yún)^(qū)域向數(shù)據(jù)庫(kù)或HTML頁(yè)面中提交惡意代碼,當(dāng)用戶打開有惡意代碼的鏈接或頁(yè)面時(shí),惡意代碼通過(guò)瀏覽器自動(dòng)執(zhí)行,從而達(dá)到攻擊的目的。跨站腳本漏洞危害很大,尤其是目前被廣泛使用的網(wǎng)絡(luò)銀行,通過(guò)跨站腳本漏洞攻擊者可以冒充受害者訪問(wèn)用戶重要賬戶,盜竊企業(yè)重要信息。
根據(jù)前期各個(gè)漏洞研究機(jī)構(gòu)的調(diào)查顯示,SQL注入漏洞和跨站腳本漏洞的普遍程度排名前兩位,造成的危害也更加巨大。
關(guān)于協(xié)達(dá)
聯(lián)系我們
客戶服務(wù):13813743420
技術(shù)支持:0513-88932069
QQ客服:
QQ客服:
首 頁(yè)
關(guān)于協(xié)達(dá)
資訊中心
網(wǎng)站建設(shè)
網(wǎng)站優(yōu)化
網(wǎng)站推廣
精品案例
解決方案
聯(lián)系我們
蘇公網(wǎng)安備 32062102000219號(hào)
蘇ICP備09087475號(hào)-16
版權(quán)所有:南通協(xié)達(dá)軟件有限公司
地址:江蘇省海安市人民東路58號(hào)35號(hào)樓4F 咨詢手機(jī):13813743420 聯(lián)系人:張先生
Copyright
www.zhihuanche.com
友情鏈接:
剪板機(jī)廠家
南通不銹鋼加工
滾彎?rùn)C(jī)
上海燁途
蘇公網(wǎng)安備 32062102000219號(hào) 蘇ICP備09087475號(hào)-16 版權(quán)所有:南通協(xié)達(dá)軟件有限公司 