确认访问用户身份的认证
基于表单认证的标准规范尚未有定论,一般会使用Cookie来管理Session(会话)。以弥补HTTP协议中不存在的状态管理功能。
构建Web内容的技术
HTML(HyperText Markup Language,超文本标记语言)是为了发送web上的超文本而开发的标记语言。
Web的攻击技术
简单的HTTP协议本身并不存在安全性问题,因此协议本身几乎不会成为攻击的对象。应用HTTP协议的服务器和客户端,以及允许在服务器上的Web应用资源才是攻击目标。
现今几乎所有的web网站都会使用会话(session)管理,加密处理等安全性方面的功能,而HTTP协议内并不具备这些功能。
对web应用的攻击模式有以下两种:
- 主动攻击
- 被动攻击
1.以服务器为目标的主动攻击
主动攻击(active attack)是指攻击者通过直接访问web应用,把攻击代码传入的攻击模式。
由于该模式是直接针对服务器上的资源进行攻击,因此攻击者需要能够访问到那些资源。
主动攻击模式里具有代表性的攻击是SQL注入攻击和OS命令注入攻击。
2.以服务器为目标的被动攻击
被动攻击(passive attack)是指利用圈套策略执行攻击代码的攻击模式。在被动攻击过程中,攻击者不直接对目标web应用访问发起攻击。
被动攻击模式中具有代表性的攻击是跨站脚本攻击(XSS)和跨站点请求伪造。
跨站脚本攻击(Cross-Site Scripting,XSS)是指通过存在安全漏洞的web网站注册用户的浏览器内运行非法的HTML标签或JavaScript进行的一种攻击。
跨站脚本攻击可能造成以下影响:
- 利用虚假输入表单骗取用户个人信息。
- 利用脚本窃取用户的Cookie值,被害者在不知情的情况下,帮助攻击者发送恶意请求。
- 显示伪造的文章或图片。
跨站点请求伪造(Cross-Site Request Forgeries,CSRF)攻击是指攻击者通过设置好的陷阱,强制对已完成认证的用户进行非预期的个人信息或设定信息等某些状态更新,属于被动攻击。
3.其他安全漏洞
1)密码破解:算出密码,突破认证。
2)点击劫持:利用透明的按钮或链接做成陷进,覆盖在web页面之上。然后诱使用户在不知情的情况下,点击那个链接访问内容的一种攻击手段,这种行为又称为界面伪装。
3)Dos攻击:一种让运行中的服务呈停止状态的攻击。有时也叫做服务停止攻击或拒绝服务攻击。Dos攻击的对象不仅限于Web网站,还包括网络设备及服务器等。
4)后门程序:开发设置的隐藏入口,可不按正常步骤使用受限功能。利用后门程序就能够使用原本受限制的功能。