web常见的漏洞的分类以及危害

太过爱你忘了你带给我的痛 2024-04-01 19:45 74阅读 0赞

**Web****漏洞分类**

WEB漏洞通常是指网站程序上的漏洞，可能是由于代码编写者在编写代码时考虑不周全等原因而造成的漏洞

**ØSQL注入**

**XSS跨站脚本攻**

**CSRF跨站请求伪造攻击**

**网络传输漏洞**

**上传漏洞**

**其他漏洞**

**暴力破解漏洞**

**命令执行漏洞**

**SQL****注入漏洞：**

网站程序忽略了对输入字符串中包含的SQL语句的检查，使得包含的SQL语句被数据库误认为是合法的SQL指令而运行，导致数据库中各种敏感数据被盗取、更改或删除。XSS跨站脚本漏洞：网站程序忽略了对输入字符串中特殊字符与字符串（如<>'"<script><iframe>onload）的检查，使得攻击者可以欺骗用户访问包含恶意JavaScript代码的页面，使得恶意代码在用户浏览器中执行，从而导致目标用户权限被盗取或数据被篡改。页面存在源代码泄露：页面存在源代码泄露,可能导致网站服务的关键逻辑、配置的账号密码泄露，攻击者利用该信息可以更容易得到网站权限，导致网站被黑。

SQL注入漏洞的危害不仅体现在数据库层面，还有可能危及承载数据库的操作系统；如果SQL注入被用来挂马，还可能用来传播恶意软件等，

这些危害包括但不限于：

• 数据库信息泄漏：数据库中存储的用户隐私信息泄露。

• 网页篡改：通过操作数据库对特定网页进行篡改。

• 网站被挂马，传播恶意软件：修改数据库一些字段的值，嵌入网马链接，进行挂马攻击。

• 数据库被恶意操作：数据库服务器被攻击，数据库的系统管理员帐户被窜改。

• 服务器被远程控制，被安装后门：经由数据库服务器提供的操作系统支持，让黑客得以修改或控制操作系统。

• 破坏硬盘数据，瘫痪全系统。XSS跨站脚本漏洞的危害包括但不限于：

• 钓鱼欺骗：最典型的就是利用目标网站的反射型跨站脚本漏洞将目标网站重定向到钓鱼网站，或者注入钓鱼JavaScript以监控目标网站的表单输入，甚至发起基于DHTML更高级的钓鱼攻击方式。• 网站挂马：跨站后利用IFrame嵌入隐藏的恶意网站或者将被攻击者定向到恶意网站上，或者弹出恶意网站窗口等方式都可以进行挂马攻击。

• 身份盗用：Cookie是用户对于特定网站的身份验证标志，XSS可以盗取用户的Cookie，从而利用该Cookie获取用户对该网站的操作权限。如果一个网站管理员用户Cookie被窃取，将会对网站引发巨大的危害。

• 盗取网站用户信息：当能够窃取到用户Cookie从而获取到用户身份时，攻击者可以获取到用户对网站的操作权限，从而查看用户隐私信息。

• 垃圾信息发送：比如在SNS社区中，利用XSS漏洞借用被攻击者的身份发送大量的垃圾信息给特定的目标群体。

• 劫持用户Web行为：一些高级的XSS攻击甚至可以劫持用户的Web行为，监视用户的浏览历史，发送与接收的数据等等。

• XSS蠕虫：XSS 蠕虫可以用来打广告、刷流量、挂马、恶作剧、破坏网上数据、实施DDoS攻击等。信息泄露漏洞的危害CGI漏洞大多分为以下几种类型：信息泄露、命令执行和溢出，因此危害的严重程度不一。信息泄露会暴露服务器的敏感信息，使攻击者能够通过泄露的信息进行进一步入侵；命令执行会对服务器的安全造成直接的影响，如执行任意系统命令；溢出往往能够让攻击者直接控制目标服务器，危害重大。内容泄露漏洞：会被攻击者利用导致其它类型的攻击，危害包括但不局限于：

• 内网ip泄露：可能会使攻击者渗透进入内网产生更大危害。

• 数据库信息泄露：让攻击者知道数据库类型，会降低攻击难度。

• 网站调试信息泄露：可能让攻击者知道网站使用的编程语言，使用的框架等，降低攻击难度。

• 网站目录结构泄露：攻击者容易发现敏感文件。

• 绝对路径泄露：某些攻击手段依赖网站的绝对路径，比如用SQL注入写webshell。

• 电子邮件泄露：邮件泄露可能会被垃圾邮件骚扰，还可能被攻击者利用社会工程学手段获取更多信息，扩大危害。文件泄露漏洞：可能会导致重要信息的泄露，进而扩大安全威胁，这些危害包括但不局限于：

• 帐号密码泄漏：可能导致攻击者直接操作网站后台或数据库，进行一些可能有危害的操作。

• 源码泄露：可能会让攻击者从源码中分析出更多其它的漏洞，如SQL注入，文件上传，代码执行等。

• 系统用户泄露：可能会方便暴力破解系统密码。

**上传漏洞**

1. 原理  
文件上传漏洞是指网络攻击者上传了一个可执行的文件到服务器，服务器未经任何检验或过滤，从而造成文件的执行。这里上传的文件可以是木马，病毒，恶意脚本或者 WebShell 等。

漏洞解决方案SQL注入漏洞解决方案：