跨站攻击

漏洞描述

跨站脚本攻击(Cross-site scripting,简称XSS攻击),通常发生在客户端,可被用于进行隐私窃取、钓鱼欺骗、密码偷取、恶意代码传播等攻击行为。XSS攻击使用到的技术主要为HTML和Javascript脚本,也包括VBScript和ActionScript脚本等。

恶意攻击者将对客户端有危害的代码放到服务器上作为一个网页内容,用户不经意打开此网页时,这些恶意代码会注入到用户的浏览器中并执行,从而使用户受到攻击。一般而言,利用跨站脚本攻击,攻击者可窃取会话cookie,从而获得用户的隐私信息,甚至包括密码等敏感信息。

漏洞危害

XSS攻击对Web服务器本身虽无直接危害,但是它借助网站进行传播,对网站用户进行攻击,窃取网站用户账号信息等,从而也会对网站产生较严重的危害。XSS攻击可导致以下危害:
  • 钓鱼欺骗:最典型的就是利用目标网站的反射型跨站脚本漏洞将目标网站重定向到钓鱼网站,或者通过注入钓鱼JavaScript脚本以监控目标网站的表单输入,甚至攻击者基于DHTML技术发起更高级的钓鱼攻击。
  • 网站挂马:跨站时,攻击者利用Iframe标签嵌入隐藏的恶意网站,将被攻击者定向到恶意网站上、或弹出恶意网站窗口等方式,进行挂马攻击。
  • 身份盗用:Cookie是用户对于特定网站的身份验证标志,XSS攻击可以盗取用户的cookie,从而利用该cookie盗取用户对该网站的操作权限。如果一个网站管理员用户的cookie被窃取,将会对网站引发巨大的危害。
  • 盗取网站用户信息:当窃取到用户cookie从而获取到用户身份时,攻击者可以盗取到用户对网站的操作权限,从而查看用户隐私信息。
  • 垃圾信息发送:在社交网站社区中,利用XSS漏洞借用被攻击者的身份发送大量的垃圾信息给特定的目标群。
  • 劫持用户Web行为:一些高级的XSS攻击甚至可以劫持用户的Web行为,从而监视用户的浏览历史、发送与接收的数据等等。
  • XSS蠕虫:借助XSS蠕虫病毒还可以用来打广告、刷流量、挂马、恶作剧、破坏网上数据、实施DDoS攻击等。

CRLF攻击

漏洞描述

HTTP响应拆分漏洞,也叫CRLF注入攻击。CR、LF分别对应回车、换行字符。

HTTP头信息由很多被CRLF组合分离的行构成,每行的结构都是“键:值”。如果用户输入的值部分注入了CRLF字符,它有可能改变的HTTP报头结构。

漏洞危害

攻击者通过注入自定义HTTP头信息(例如,攻击者可以注入会话cookie或HTML代码),进行XSS攻击或会话固定漏洞攻击等。

SQL注入攻击

漏洞描述

SQL注入攻击(SQL Injection,简称注入攻击),被广泛用于非法获取网站控制权,是发生在应用程序的数据库层上的安全漏洞。

在设计不良的程序当中,忽略了对输入字符串中夹带的SQL指令进行检查,导致夹带的SQL指令被数据库误认为是正常的SQL指令而运行, 从而使数据库受到攻击,导致数据被窃取、更改、或删除,甚至进一步导致网站被嵌入恶意代码、被植入后门程序等危害。

漏洞危害

SQL注入攻击可导致以下危害:
  • 机密数据被窃取。
  • 核心业务数据被篡改。
  • 网页被篡改。
  • 数据库所在的服务器被攻击变成傀儡主机,甚至企业网被入侵。

写入WebShell攻击

漏洞描述

写入WebShell攻击,是指攻击者正在往网站服务器写入网页木马程序,企图控制服务器的攻击。

漏洞危害

攻击者在用户网站上写入一个Web木马后门,进而操作用户网站上的文件、执行命令等等。

本地文件包含

漏洞描述

本地文件包含是指程序代码在处理包含文件的时候没有严格控制,攻击者可以把上传的静态文件、或网站日志文件作为代码执行。

漏洞危害

攻击者利用该漏洞,在服务器上执行命令,进而获取到服务器权限,造成网站被恶意删除、用户和交易数据被篡改等一系列恶性后果。

远程文件包含

漏洞描述

远程文件包含是指程序代码在处理包含文件的时候没有严格控制,导致攻击者可以构造参数包含远程代码在服务器上执行。

漏洞危害

攻击者利用该漏洞,在服务器上执行命令,进而获取到服务器权限,造成网站被恶意删除、用户和交易数据被篡改等一系列恶性后果。

远程代码执行

漏洞描述

远程代码执行,也叫代码注入,是指由于服务端代码漏洞导致恶意用户输入的代码在服务端被执行的一种高危安全漏洞。

漏洞危害

攻击者利用该漏洞,可以在服务器上执行拼装的代码。

FastCGI攻击

漏洞描述

FastCGI攻击是Nginx中存在一个较为严重的安全漏洞。FastCGI模块默认情况下可能导致服务器错误地将任何类型的文件以PHP的方式进行解析。

漏洞危害

恶意的攻击者可能攻陷支持PHP的Nginx服务器。