跨站攻擊

漏洞描述

跨站指令碼攻擊(Cross-site scripting,簡稱XSS攻擊),通常發生在用戶端,可被用於進行隱私竊取、釣魚欺騙、密碼偷取、惡意代碼傳播等攻擊行為。XSS攻擊使用到的技術主要為HTML和Javascript指令碼,也包括VBScript和ActionScript指令碼等。

惡意攻擊者將對用戶端有危害的代碼放到伺服器上作為一個網頁內容,使用者不經意開啟此網頁時,這些惡意代碼會注入到使用者的瀏覽器中並執行,從而使使用者受到攻擊。一般而言,利用跨站指令碼攻擊,攻擊者可竊取會話cookie,從而獲得使用者的隱私資訊,甚至包括密碼等敏感資訊。

漏洞危害

XSS攻擊對Web伺服器本身雖無直接危害,但是它藉助網站進行傳播,對網站使用者進行攻擊,竊取網站使用者帳號資訊等,從而也會對網站產生較嚴重的危害。XSS攻擊可導致以下危害:
  • 釣魚欺騙:最典型的就是利用目標網站的反射型跨站指令碼漏洞將目標網站重新導向到釣魚網站,或者通過注入釣魚JavaScript指令碼以監控目標網站的表單輸入,甚至攻擊者基於DHTML技術發起更進階的釣魚攻擊。
  • 網站掛馬:跨站時,攻擊者利用Iframe標籤嵌入隱藏的惡意網站,將被攻擊者定向到惡意網站上、或彈出惡意網站視窗等方式,進行掛馬攻擊。
  • 身份盜用:Cookie是使用者對於特定網站的身分識別驗證標誌,XSS攻擊可以盜取使用者的cookie,從而利用該cookie盜取使用者對該網站的操作許可權。如果一個網站管理使用者的cookie被竊取,將會對網站引發巨大的危害。
  • 盜取網站使用者資訊:當竊取到使用者cookie從而擷取到使用者身份時,攻擊者可以盜取到使用者對網站的操作許可權,從而查看使用者隱私資訊。
  • 垃圾資訊發送:在社交網站社區中,利用XSS漏洞借用被攻擊者的身份發送大量的垃圾資訊給特定的目標群。
  • 劫持使用者Web行為:一些進階的XSS攻擊甚至可以劫持使用者的Web行為,從而監視使用者的瀏覽曆史、發送與接收的資料等等。
  • XSS蠕蟲:藉助XSS蠕蟲還可以用來打廣告、刷流量、掛馬、惡作劇、破壞網上資料、實施DDoS攻擊等。

CRLF攻擊

漏洞描述

HTTP響應拆分漏洞,也叫CRLF注入攻擊。CR、LF分別對應斷行符號、換行字元。

HTTP頭資訊由很多被CRLF組合分離的行構成,每行的結構都是“鍵:值”。如果使用者輸入的值部分注入了CRLF字元,它有可能改變的HTTP前序結構。

漏洞危害

攻擊者通過注入自訂HTTP頭資訊(例如,攻擊者可以注入會話cookie或HTML代碼),進行XSS攻擊或會話固定漏洞攻擊等。

SQL注入攻擊

漏洞描述

SQL注入攻擊(SQL Injection,簡稱注入攻擊),被廣泛用於非法擷取網站控制權,是發生在應用程式的資料庫層上的安全性漏洞。

在設計不良的程式當中,忽略了對輸入字串中夾帶的SQL指令進行檢查,導致夾帶的SQL指令被資料庫誤認為是正常的SQL指令而運行, 從而使資料庫受到攻擊,導致資料被竊取、更改、或刪除,甚至進一步導致網站被嵌入惡意代碼、被植入後門程式等危害。

漏洞危害

SQL注入攻擊可導致以下危害:
  • 機密資料被竊取。
  • 核心業務資料被篡改。
  • 網頁被篡改。
  • 資料庫所在的伺服器被攻擊變成傀儡主機,甚至企業網被入侵。

寫入WebShell攻擊

漏洞描述

寫入WebShell攻擊,是指攻擊者正在往網站伺服器寫入網頁木馬程式,企圖控制伺服器的攻擊。

漏洞危害

攻擊者在使用者網站上寫入一個Web木馬後門,進而操作使用者網站上的檔案、執行命令等等。

本地檔案包含

漏洞描述

本地檔案包含是指程式碼在處理包含檔案的時候沒有嚴格控制,攻擊者可以把上傳的靜態檔案、或網站記錄檔作為代碼執行。

漏洞危害

攻擊者利用該漏洞,在伺服器上執行命令,進而擷取到伺服器許可權,造成網站被惡意刪除、使用者和交易資料被篡改等一系列惡性後果。

遠程檔案包含

漏洞描述

遠程檔案包含是指程式碼在處理包含檔案的時候沒有嚴格控制,導致攻擊者可以構造參數包含遠程代碼在伺服器上執行。

漏洞危害

攻擊者利用該漏洞,在伺服器上執行命令,進而擷取到伺服器許可權,造成網站被惡意刪除、使用者和交易資料被篡改等一系列惡性後果。

遠程代碼執行

漏洞描述

遠程代碼執行,也叫代碼注入,是指由於服務端代碼漏洞導致惡意使用者輸入的代碼在服務端被執行的一種高危安全性漏洞。

漏洞危害

攻擊者利用該漏洞,可以在伺服器上執行拼裝的代碼。

FastCGI攻擊

漏洞描述

FastCGI攻擊是Nginx中存在一個較為嚴重的安全性漏洞。FastCGI模組預設情況下可能導致伺服器錯誤地將任何類型的檔案以PHP的方式進行解析。

漏洞危害

惡意的攻擊者可能攻陷支援PHP的Nginx伺服器。