针对 Web 的攻击技术(三)
2017-08-11 本文已影响12人
春困秋乏冬眠夏打盹
五、其他安全漏洞
(一)密码破解
密码破解有以下两种手段:
● 通过网络的密码试错
○ 穷举法
○ 字典攻击
● 对已加密密码的破解 (指攻击者入侵系统,已获得加密或散列处理的密码数据的情况)
○ 通过穷举法·字典攻击进行类推
○ 彩虹表
○ 拿到密钥
○ 加密算法的漏洞
对已加密密码的破解:
Web应用在保存密码时,一般不会直接以明文的方式保存,通过散列函数做散列处理其他手段对要保存的密码本身加密。
(二)点击劫持
点击劫持 是指:利用透明的按钮或链接做成陷阱,覆盖在Web页面之上。然后诱使用户在不知情的情况下,点击那个链接访问内容的一种攻击手段。这种行为又称为界面伪装。
(三)DoS 攻击
DoS攻击,是一种让运行中的服务呈停止状态的攻击。有时也叫做服务停止攻击或拒绝服务攻击。
DoS攻击的对象不仅限于Web网站,还包括网络设备及服务器等。
主要有两种DoS攻击方式:
● 集中利用访问请求造成资源过载,资源用尽的同时,实际上服务也就呈停止状态。
● 通过攻击安全漏洞使服务停止。
DDoS攻击:多台计算机发起的DoS攻击称为DDoS攻击。
DDoS攻击 通常利用那些感染病毒的计算机作为攻击者的攻击跳板。
(四)后门程序
后门程序 是指:开发设置的隐藏入口,可不按正常步骤使用受限功能。
3种类型:
● 开发阶段作为 Debug 调用的后门程序
● 开发者为了自身利益植入的后门程序
● 攻击者通过某种方法设置的后门程序
可通过监视进程和通信的状态发现被植入的后门程序。但设定在Web应用中的后门程序,由于和正常使用时区别不大,通常很难发现。