1、跨站攻击
漏洞描述
跨站脚本攻击(Cross-site scripting,通常简称为XSS)发生在客户端,可被用于进行窃取隐私、钓鱼欺骗、偷取密码、传播恶意代码等攻击行为。 恶意的攻击者将对客户端有危害的代码放到服务器上作为一个网页内容, 使得其他网站用户在观看此网页时,这些代码注入到了用户的浏览器中执行,使用户受到攻击。一般而言,利用跨站脚本攻击,攻击者可窃会话COOKIE从而窃取网站用户的隐私,包括密码。
XSS攻击使用到的技术主要为HTML和Javascript,也包括VBScript和ActionScript等。XSS攻击对WEB服务器虽无直接危害,但是它借助网站进行传播,使网站的使用用户受到攻击,导致网站用户帐号被窃取,从而对网站也产生了较严重的危害。
漏洞危害
①钓鱼欺骗:最典型的就是利用目标网站的反射型跨站脚本漏洞将目标网站重定向到钓鱼网站,或者注入钓鱼JavaScript以监控目标网站的表单输入,甚至发起基于DHTML更高级的钓鱼攻击方式。
②网站挂马:跨站时利用IFrame嵌入隐藏的恶意网站或者将被攻击者定向到恶意网站上,或者弹出恶意网站窗口等方式都可以进行挂马攻击。
③身份盗用:Cookie是用户对于特定网站的身份验证标志,XSS可以盗取到用户的Cookie,从而利用该Cookie盗取用户对该网站的操作权限。如果一个网站管理员用户Cookie被窃取,将会对网站引发巨大的危害。
④盗取网站用户信息:当能够窃取到用户Cookie从而获取到用户身份使,攻击者可以获取到用户对网站的操作权限,从而查看用户隐私信息。
⑤垃圾信息发送:比如在SNS社区中,利用XSS漏洞借用被攻击者的身份发送大量的垃圾信息给特定的目标群。
⑥劫持用户Web行为:一些高级的XSS攻击甚至可以劫持用户的Web行为,监视用户的浏览历史,发送与接收的数据等等。
⑦XSS蠕虫:XSS 蠕虫可以用来打广告、刷流量、挂马、恶作剧、破坏网上数据、实施DDoS攻击等。
2、CRLF攻击
漏洞描述
HTTP响应拆分漏洞,也叫CRLF注入攻击。CR、LF分别对应回车、换行字符。
HTTP头由很多被CRLF组合分离的行构成,每行的结构都是“键:值”。
如果用户输入的值部分注入了CRLF字符,它有可能改变的HTTP报头结构。
漏洞危害
攻击者可能注入自定义HTTP头。例如,攻击者可以注入会话cookie或HTML代码。这可能会进行类似的XSS(跨站点脚本)或会话固定漏洞。
3、SQL注入攻击
漏洞描述
SQL注入攻击(SQL Injection),简称注入攻击、SQL注入,被广泛用于非法获取网站控制权,是发生在应用程序的数据库层上的安全漏洞。 在设计不良的程序当中,忽略了对输入字符串中夹带的SQL指令的检查,那么这些夹带进去的指令就会被数据库误认为是正常的SQL指令而运行, 从而使数据库受到攻击,可能导致数据被窃取、更改、删除,以及进一步导致网站被嵌入恶意代码、被植入后门程序等危害。
漏洞危害
①机密数据被窃取
②核心业务数据被篡改
③网页被篡改
⑤数据库所在服务器被攻击变为傀儡主机,甚至企业网被入侵。
4、写入webshell攻击
漏洞描述
写入webshell攻击,是指WAF检测到攻击者正在往用户网站写入网页木马,企图控制服务器。
漏洞危害
攻击者可以在用户网站上写入一个web木马后门,用于操作用户网站上的文件,执行命令等等。
5、本地文件包含
漏洞描述
本地文件包含是指程序代码在处理包含文件的时候没有严格控制。
利用这个漏洞,攻击者可以先把上传的静态文件,或网站日志文件作为代码执行,进而获取到服务器权限,造成网站被恶意删除,用户和交易数据被篡改等一系列恶性后果。
漏洞危害
攻击着可以利用该漏洞,在服务器上执行命令。
6、远程文件包含
漏洞描述
远程文件包含是指程序代码在处理包含文件的时候没有严格控制。导致用户可以构造参数包含远程代码在服务器上执行,进而获取到服务器权限,造成网站被恶意删除,用户和交易数据被篡改等一系列恶性后果。
漏洞危害
攻击着可以利用该漏洞,在服务器上执行命令。
7、远程代码执行
漏洞描述
代码注入是指由于服务端代码漏洞导致恶意用户输入在服务端被执行的一种高危安全漏洞。
漏洞危害
利用该漏洞,可以在服务器上执行攻击者拼装的代码。
8、FastCGI攻击
漏洞描述
Nginx中存在一个较为严重的安全问题,FastCGI模块默认情况下可能导致服务器错误的将任何类型的文件以PHP的方式进行解析。
漏洞危害
这将导致严重的安全问题,使得恶意的攻击者可能攻陷支持php的Nginx服务器。