访客

owasp黑客组织(o3swap黑客)

138 hacker DDOS攻防

本文目录一览:

XSS攻击的背景知识

1.1 什么是XSS攻击

XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode”。

数据来源:2007 OWASP Top 10的MITRE数据

注:OWASP是世界上最知名的Web安全与数据库安全研究组织

在2007年OWASP所统计的所有安全威胁中,跨站脚本攻击占到了22%,高居所有Web威胁之首。

XSS攻击的危害包括

1、盗取各类用户帐号,如机器登录帐号、用户网银帐号、各类管理员帐号

2、控制企业数据,包括读取、篡改、添加、删除企业敏感数据的能力

3、盗窃企业重要的具有商业价值的资料

4、非法转账

5、强制发送电子邮件

6、网站挂马

7、控制受害者机器向其它网站发起攻击

1.2 XSS漏洞的分类

XSS漏洞按照攻击利用手法的不同,有以下三种类型:

类型A,本地利用漏洞,这种漏洞存在于页面中客户端脚本自身。其攻击过程如下所示:

Alice给Bob发送一个恶意构造了Web的URL。

Bob点击并查看了这个URL。

恶意页面中的JavaScript打开一个具有漏洞的HTML页面并将其安装在Bob电脑上。

具有漏洞的HTML页面包含了在Bob电脑本地域执行的JavaScript。

Alice的恶意脚本可以在Bob的电脑上执行Bob所持有的权限下的命令。

类型B,反射式漏洞,这种漏洞和类型A有些类似,不同的是Web客户端使用Server端脚本生成页面为用户提供数据时,如果未经验证的用户数据被包含在页面中而未经HTML实体编码,客户端代码便能够注入到动态页面中。其攻击过程如下:

Alice经常浏览某个网站,此网站为Bob所拥有。Bob的站点运行Alice使用用户名/密码进行登录,并存储敏感信息(比如银行帐户信息)。

Charly发现Bob的站点包含反射性的XSS漏洞。

Charly编写一个利用漏洞的URL,并将其冒充为来自Bob的邮件发送给Alice。

Alice在登录到Bob的站点后,浏览Charly提供的URL。

嵌入到URL中的恶意脚本在Alice的浏览器中执行,就像它直接来自Bob的服务器一样。此脚本盗窃敏感信息(授权、信用卡、帐号信息等)然后在Alice完全不知情的情况下将这些信息发送到Charly的Web站点。

类型C,存储式漏洞,该类型是应用最为广泛而且有可能影响到Web服务器自身安全的漏洞,骇客将攻击脚本上传到Web服务器上,使得所有访问该页面的用户都面临信息泄漏的可能,其中也包括了Web服务器的管理员。其攻击过程如下:

Bob拥有一个Web站点,该站点允许用户发布信息/浏览已发布的信息。

Charly注意到Bob的站点具有类型C的XSS漏洞。

Charly发布一个热点信息,吸引其它用户纷纷阅读。

Bob或者是任何的其他人如Alice浏览该信息,其会话cookies或者其它信息将被Charly盗走。

类型A直接威胁用户个体,而类型B和类型C所威胁的对象都是企业级Web应用。

如何选择Web安全防护产品

 1、是否获得OWASP Web应用防火墙认证证书

OWASP被视为Web应用安全领域的权威参考,OWASP TOP 10是IBMAPPSCAN、HP WEBINSPECT等扫描器漏洞参考的主要标准。能够获得OWASP的Web应用防火墙认证证书是对产品Web防护能力的高度肯定。

2、OWASP top10防御能力达到4星

在OWASP的认证测评中,TOP10是OWASP为Web安全防护能力的主要测评项,防护效果直接影响最终的评分。在国内的安全产品中,能够获得4星评分的产品屈指可数,深信服下一代防火墙名列其中。

3、特征+主动防护模式进行防护

Web攻击防护主要依靠web攻击特征的编写,而具备采用自动建模的技术的web安全防护产品可以自动学习网站的文件、目录及参数,形成白名单实现主动防御。采用特征+主动防御模式可综合抵御已知未知威胁达到最佳的防护效果。

4、Web攻击特征达到2000条以上

Web攻击特征库是决定OWASP top10威胁的主要评估依据,由于Web攻击采用逃逸的手段很多,只有充分编译各类攻击特征才能起到有效的防护效果。2000条特征是同类产品专业性的一个初级评判标准。

5、提供系统漏洞、应用漏洞攻击的防护能力

Web系统的风险包括以下几类:

系统底层漏洞(如windows、linux操作系统漏洞)

发布软件漏洞(IIS、Aapach等)

数据库中间件漏洞(oracle、sql server、my sql等漏洞)

Web应用漏洞(Web漏洞攻击)

Web安全防护产品不仅仅需要具备Web攻击防护能力,还需具备上述的系统漏洞、应用漏洞等的攻击防护的技术。

6、具备攻击效果事后处理的能力

未知威胁的不断新增,仅依靠攻击特征的方式进行安全防护永远会落后于黑客攻击的新手段。一款专业的Web安全防护产品应从黑客攻击要达到的效果出发,同时提供事后处理的技术手段。

7、应用层性能满足业务的要求

Web安全防护产品其资源消耗主要是由应用层流量检测引起。一款优秀的Web安全产品应做到软硬件的技术改良以提升应用层的性能,满足大规模Web系统集群的应用层性能的要求。

Web应用常见的安全漏洞有哪些?

Web应用常见的安全漏洞:

1、SQL注入

注入是一个安全漏洞,允许攻击者通过操纵用户提供的数据来更改后端SQL语句。 当用户输入作为命令或查询的一部分被发送到解释器并且欺骗解释器执行非预期的命令并且允许访问未授权的数据时,发生注入。

2、跨站脚本攻击 (XSS)

XSS漏洞针对嵌入在客户端(即用户浏览器而不是服务器端)的页面中嵌入的脚本。当应用程序获取不受信任的数据并将其发送到Web浏览器而未经适当验证时,可能会出现这些缺陷。

3、跨站点请求伪造

CSRF攻击是指恶意网站,电子邮件或程序导致用户的浏览器在用户当前已对其进行身份验证的受信任站点上执行不需要的操作时发生的攻击。

4、无法限制URL访问

Web应用程序在呈现受保护的链接和按钮之前检查URL访问权限 每次访问这些页面时,应用程序都需要执行类似的访问控制检查。 通过智能猜测,攻击者可以访问权限页面。攻击者可以访问敏感页面,调用函数和查看机密信息。

5、不安全的加密存储

不安全的加密存储是一种常见的漏洞,在敏感数据未安全存储时存在。 用户凭据,配置文件信息,健康详细信息,信用卡信息等属于网站上的敏感数据信息。

扩展资料

web应用漏洞发生的市场背景:

由于Web服务器提供了几种不同的方式将请求转发给应用服务器,并将修改过的或新的网页发回给最终用户,这使得非法闯入网络变得更加容易。

许多程序员不知道如何开发安全的应用程序。他们的经验也许是开发独立应用程序或Intranet Web应用程序,这些应用程序没有考虑到在安全缺陷被利用时可能会出现灾难性后果。

许多Web应用程序容易受到通过服务器、应用程序和内部已开发的代码进行的攻击。这些攻击行动直接通过了周边防火墙安全措施,因为端口80或443(SSL,安全套接字协议层)必须开放,以便让应用程序正常运行。

参考资料来源:百度百科-WEB安全漏洞

参考资料来源:百度百科-Web安全

OWASP中文全称

开放式网页应用程序安全项目

(OWASP,Open Web Application Security Project)是一个组织,它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。

它是一个非营利组织,不附属于任何企业或财团。因此,由OWASP提供和开发的所有设施和文件都不受商业因素的影响。OWASP支持商业安全技术的合理使用,它有一个论坛,在论坛里信息技术专业人员可以发表和传授专业知识和技能。

THE END
相关文章

#夏日 炭箱寄存 菜蔬的超适用 要领 #秋夏日 节,马铃薯那种根菜异常 轻易 抽芽 ,一朝抽芽 便没有合适 食用了。#尔是年夜 大夫 #让尔给您看一招。博野用那

超实用夏季冰箱储菜保鲜法

说到文娱圈的离婚妇妻,信任 许多 人皆念到冯绍峰战赵丽颖,信任 许多 人皆 晓得了,赵丽颖战冯绍峰于 二0 二 一年 四月 二 三日上午官宣离婚,这么赵丽颖战冯

赵丽颖和冯绍峰为什么离婚 四大原因揭晓

远日,网传“上海妊妇 购鸡蛋送邻人 被举报,子夜  请求写包管 书”的望频正在网上激发 冷议存眷 ,那毕竟 怎么归事?事宜 最新后绝去了,妊妇 团买鸡蛋被举报,

孕妇团购鸡蛋被举报当事人:已和解 事件原委披露

评论列表
  • 晴枙嵶邸
    晴枙嵶邸 Jul 5日, 2022 @ 06:22 pm OWASP为Web安全防护能力的主要测评项,防护效果直接影响最终的评分。在国内的安全产品中,能够获得4星评分的产品屈指可数,深信服下一代防火墙名列其中。3、特征+主动防护模式进行防护Web攻击防护主要依靠web攻击特征的 回复
发布评论
提交