web发展史
- web1.0
- web2.0
web流程
- 客户端/前段 钓鱼、暗链、XSS、点击劫持、CSRF、URL跳转
- 服务端/后端 SQL注入、命令注入、文件上传、文件包含、暴力破解
浏览器
- 浏览器
- 域名获取web服务器IP地址(DNS解析)
- 访问 WEB服务器
攻击类型
1. XSS
- 全称:Cross Site Script
- 中文名称:跨站脚本
- 危害:盗取用户信息、钓鱼、制造蠕虫
- 概念:黑客通过“HTML注入”篡改网页,插入恶意脚本,当用户在浏览网页时,实现控制用户浏览器行为的一种攻击方式。
- 类型:
- 存储型:构造XSS,写入数据库
- 反射型:XSS脚本链接,服务器接受后解析请求参数输出到页面(后端)
- DOM型:XSS脚本链接,JS获取参数解析URL内容输出DOM中(JS)
XSS类型 |
存储型 |
反射型 |
DOM型 |
触发过程 |
1.黑客构造XSS脚本 2.正常用户访问携带XSS脚本的页面 |
正常用户访问携带XSS脚本的URL |
正常用户访问携带XSS脚本的URL |
数据存储 |
数据库 |
URL |
URL |
谁来输出 |
后端WEB应用程序 |
后端WEB应用程序 |
前端JS |
输出位置 |
HTTP响应中 |
HTTP响应中 |
动态构造的DOM节点 |
2. CSRF
- 全称:Cross-site request forgery
- 中文名称:跨站请求伪造
- 危害:执行恶意操作(“被转账”、“被发垃圾评论”等),制造蠕虫
- 概念:利用用户已登录的身份,在用户毫不知情的情况下,以用户的名义完成非法操作
3. 点击劫持
- 概念:通过覆盖不可见的框架误导受害者点击而造成的攻击行为
- 特点:
- 隐蔽性较高
- 骗取用户操作
- “UI-覆盖攻击”
- 利用iframe或者其他标签的属性
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)