攻击者把 SQL 命令插入到 web 表单的输入域或页面请求的字符串,欺骗服务器执行恶意的 SQL 命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态 SQL 命令,或作为存储过程的输入参数,这类表单特别容易受到 SQL 注入式攻击。常见的 SQL 注入式攻击过程类如:
1. 某个 Web 应用有一个登录页面,这个登录页面控制着用户是否有权访问应用,它要求用户输入一个名称和密码;
2. 登录页面中输入的内容将直接用来构造动态的 SQL 命令,或者直接用作存储过程的参数;
例如:
- $query = 'SELECT * from Users WHERE login = ' . $username . ' AND password = ' . $password;
3. 攻击者在用户名字和密码输入框中输入'或'1'='1 之类的内容;
4. 用户输入的内容提交给服务器之后,服务器运行上面的代码构造出查询用户的 SQL 命令,但由于攻击者输入的内容非常特殊,所以最后得到的 SQL 命令变成:
- SELECT * from Users WHERE login = '' or '1'='1' AND password = '' or '1'='1';
5. 服务器执行查询或存储过程,将用户输入的身份信息和服务器中保存的身份信息进行对比;
6. 由于 SQL 命令实际上已被注入式攻击修改,已经不能真正验证用户身份,所以系统会错误地授权给攻击者。
如果攻击者知道应用会将表单中输入的内容直接用于验证身份的查询,他就会尝试输入某些特殊的 SQL 字符串篡改查询改变其原来的功能,欺骗系统授予访问权限。
系统环境不同,攻击者可能造成的损害也不同,这主要由应用访问数据库的安全权限决定。如果用户的帐户具有管理员或其他比较高级的权限,攻击者就可能对数据库的表执行各种他想要做的操作,包括添加、删除或更新数据,甚至可能直接删除表
防范方法:
1. 检查变量数据类型和格式
2. 过滤特殊符号
3. 绑定变量,使用预编译语句
攻击者将恶意代码注入到网页上,其他用户在加载网页时就会执行代码,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和 cookie 等各种内容。这些恶意代码通常是 JavaScript、html 以及其他客户端脚本语言。
例如:
- php
- echo "欢迎您,".$_GET['name'];
如果传入一段脚本,那么脚本也会执行。用这样的 URL 将会执行 JavaScript 的 alert 函数弹出一个对话框:http://localhost/test.php?name=
常用的攻击手段有:
盗用 cookie,获取敏感信息;
利用 iframe、frame、XMLHttpRequest 或上述 Flash 等方式,以(被攻击)用户的身份执行一些管理动作,或执行一些一般的如发微博、加好友、发私信等操作;
利用可被攻击的域受到其他域信任的特点,以受信任来源的身份请求一些平时不允许的操作,如进行不当的投票活动;
在访问量极大的一些页面上的 XSS 可以攻击一些小型网站,实现 DDoS 攻击的效果。
防范方法:使用 htmlspecialchars 函数将特殊字符转换成 HTML 编码,过滤输出的变量
攻击者伪造目标用户的 HTTP 请求,然后此请求发送到有 CSRF 漏洞的网站,网站执行此请求后,引发跨站请求伪造攻击。攻击者利用隐蔽的 HTTP 连接,让目标用户在不注意的情况下单击这个链接,由于是用户自己点击的,而他又是合法用户拥有合法权限,所以目标用户能够在网站内执行特定的 HTTP 链接,从而达到攻击者的目的。
它与 XSS 的攻击方法不同,XSS 利用漏洞影响站点内的用户,攻击目标是同一站点内的用户者,而 CSRF 通过伪装成受害用户发送恶意请求来影响 Web 系统中受害用户的利益。
例如:
某个购物网站购买商品时,采用 http://www.shop.com/buy.php?item=watch&num=100,item 参数确定要购买什么物品,num 参数确定要购买数量,如果攻击者以隐藏的方式发送给目标用户链接
,那么如果目标用户不小心访问以后,购买的数量就成了 100 个
防范方法:
1、检查网页的来源
2、检查内置的隐藏变量
3、使用 POST,不要使用 GET,处理变量也不要直接使用 $_REQUEST
这种攻击方式的核心要点就是让合法用户使用攻击者预先设定的 session id 来访问被攻击的应用程序,一旦用户的会话 ID 被成功固定,攻击者就可以通过此 session id 来冒充用户访问应用程序。
例如:
1. 攻击者访问网站 http:///www.bank.com,获取他自己的 session id,如:SID=123;
2. 攻击者给目标用户发送链接,并带上自己的 session id,如:http:///www.bank.com/?SID=123;
3. 目标用户点击了 http:///www.bank.com/?SID=123,像往常一样,输入自己的用户名、密码登录到网站;
4. 由于服务器的 session id 不改变,现在攻击者点击 http:///www.bank.com/?SID=123,他就拥有了目标用户的身份,可以为所欲为了。
防范方法:
1. 定期更改 session id
- session_regenerate_id(TRUE); //删除旧的session文件,每次都会产生一个新的session id。默认false,保留旧的session
2. 更改 session 的名称
session 的默认名称是 PHPSESSID,此变量会保存在 cookie 中,如果攻击者不抓包分析,就不能猜到这个名称,阻挡部分攻击
- session_name("mysessionid");
3. 关闭透明化 session id
透明化 session id 指当浏览器中的 http 请求没有使用 cookie 来制定 session id 时,sessioin id 使用链接来传递
- int_set("session.use_trans_sid", 0);
4. 只从 cookie 检查 session id
- int_set("session.use_cookies", 1); //表示使用cookies存放session id
- int_set("session.use_only_cookies", 1); //表示只使用cookies存放session id
5. 使用 URL 传递隐藏参数
- $sid = md5(uniqid(rand()), TRUE));
- $_SESSION["sid"] = $sid; //攻击者虽然能获取session数据,但是无法得知$sid的值,只要检查sid的值,就可以确认当前页面是否是web程序自己调用的
会话劫持是指攻击者利用各种手段来获取目标用户的 session id。一旦获取到 session id,那么攻击者可以利用目标用户的身份来登录网站,获取目标用户的操作权限。
攻击者获取目标用户 session id 的方法:
1. 暴力破解: 尝试各种 session id,直到破解为止;
2. 计算: 如果 session id 使用非随机的方式产生,那么就有可能计算出来;
3. 窃取: 使用网络截获,xss 攻击等方法获得
防范方法:
1. 定期更改 session id
2. 更改 session 的名称
3. 关闭透明化 session id
4. 设置 HttpOnly。通过设置 Cookie 的 HttpOnly 为 true,可以防止客户端脚本访问这个 Cookie,从而有效的防止 XSS 攻击。
文件上传漏洞指攻击者利用程序缺陷绕过系统对文件的验证与处理策略将恶意代码上传到服务器并获得执行服务器端命令的能力。
常用的攻击手段有:
上传 Web 脚本代码,Web 容器解释执行上传的恶意脚本;
上传 Flash 跨域策略文件 crossdomain.xml,修改访问权限 (其他策略文件利用方式类似);
上传病毒、木马文件,诱骗用户和管理员下载执行;
上传包含脚本的图片,某些浏览器的低级版本会执行该脚本,用于钓鱼和欺诈。
总的来说,利用的上传文件要么具备可执行能力 (恶意代码),要么具备影响服务器行为的能力 (配置文件)。
防范方法:
1. 文件上传的目录设置为不可执行;
2. 判断文件类型,设置白名单。对于图片的处理,可以使用压缩函数或者 resize 函数,在处理图片的同时破坏图片中可能包含的 HTML 代码;
3. 使用随机数改写文件名和文件路径:一个是上传后无法访问;再来就是像 shell.php.rar.rar 和 crossdomain.xml 这种文件,都将因为重命名而无法攻击;
4. 单独设置文件服务器的域名:由于浏览器同源策略的关系,一系列客户端攻击将失效,比如上传 crossdomain.xml、上传包含 Javascript 的 XSS 利用等问题将得到解决。
参考资料:
来源: http://www.bubuko.com/infodetail-2166364.html