前端笔记本

针对 Web 的攻击技术(三)

2017-08-11  本文已影响12人  春困秋乏冬眠夏打盹

五、其他安全漏洞

(一)密码破解

密码破解有以下两种手段:
        ● 通过网络的密码试错
               ○ 穷举法
               ○ 字典攻击

        ● 对已加密密码的破解 (指攻击者入侵系统,已获得加密或散列处理的密码数据的情况)
               ○ 通过穷举法·字典攻击进行类推
               ○ 彩虹表
               ○ 拿到密钥
               ○ 加密算法的漏洞

对已加密密码的破解:
Web应用在保存密码时,一般不会直接以明文的方式保存,通过散列函数做散列处理其他手段对要保存的密码本身加密。

破解已加密的密码

(二)点击劫持

点击劫持 是指:利用透明的按钮或链接做成陷阱,覆盖在Web页面之上。然后诱使用户在不知情的情况下,点击那个链接访问内容的一种攻击手段。这种行为又称为界面伪装。

(三)DoS 攻击

DoS攻击,是一种让运行中的服务呈停止状态的攻击。有时也叫做服务停止攻击或拒绝服务攻击。
DoS攻击的对象不仅限于Web网站,还包括网络设备及服务器等。

主要有两种DoS攻击方式
      ● 集中利用访问请求造成资源过载,资源用尽的同时,实际上服务也就呈停止状态。
      ● 通过攻击安全漏洞使服务停止。

DoS 攻击

DDoS攻击:多台计算机发起的DoS攻击称为DDoS攻击。
DDoS攻击 通常利用那些感染病毒的计算机作为攻击者的攻击跳板。

(四)后门程序

后门程序 是指:开发设置的隐藏入口,可不按正常步骤使用受限功能。

3种类型:
      ● 开发阶段作为 Debug 调用的后门程序
      ● 开发者为了自身利益植入的后门程序
      ● 攻击者通过某种方法设置的后门程序

可通过监视进程和通信的状态发现被植入的后门程序。但设定在Web应用中的后门程序,由于和正常使用时区别不大,通常很难发现。

上一篇 下一篇

猜你喜欢

热点阅读