简单的http协议本身并不存在安全性问题,因此技术本身几乎不会成为攻击的对象,应用http协议的服务器和客户端,以及运行在服务器端web应用等资源才是攻击目标,那么怎么攻击,来源于哪里呢
web应用攻击技术
在客户端即可篡改请求
在http请求报文加载攻击代码,就能发起对web应用的攻击。通过url查询字段或表单、http首部、cookie等途径传入,若这时web应用存在安全漏洞,那内部信息就会遭到窃取,或被攻击者拿到管理权限。
针对web应用的攻击模式
对web应用的攻击模式有以下两种(主动攻击,被动攻击)
主动攻击
攻击者通过直接访问web应用,把攻击代码传入的攻击模式。
1、跨站脚本攻击(xss):指通过存在安全漏洞的web网站注册用户的浏览器内运行非法的html标签或javascript进行的一种攻击
2、sql注入攻击:针对web应用使用的数据库,通过运行非法的sql而产生的攻击
被动攻击
利用圈套策略执行攻击代码的攻击模式。在被动攻击过程中,攻击者不直接对目标web应用访问发起攻击 1、利用用户对身份攻击企业内部网络