网站安全问题常见的应用攻击类型

  网站安全问题一直是很受关注的，为什么有些网站安装网页防止篡改、网站恢复软件后仍然遭受攻击，下面分析一些常见的应用攻击类型，方便大家加强防范。

  1、缓冲区溢出

  针对程序设计缺陷，向程序输入缓冲区写入使之溢出的内容(通常是超过缓冲区能保存的最大数据量的数据)，从而破坏程序运行、趁著中断之际并获取程序乃至系统的控制权。

  2、Cookie假冒

  直接修改已存在的cookie值。cookies只是存储在用户浏览器的文本值，因此，如果没有额外的防护措施，你可轻松地通过手动或者Javascript的document.cookie属性修改它们。

  使用正确的Cookie标志和属性：有几种方法可以减少攻击者对Cookie的访问。

  3、认证逃避

  攻击者利用不安全的证书和身份管理。

  4、非法输入

  在动态网页的输入中使用各种非法数据,获取服务器敏感数据

  5、强制访问

  控制一般与自主访问控制结合使用，并且实施一些附加的、更强的访问限制。

  6、隐藏变量篡改

  对网页中的隐藏变量进行修改，欺骗服务器程序。

  7、拒绝服务攻击

  攻击者想办法让目标机器停止提供服务，是黑客常用的攻击手段之一。拒绝服务攻击造成DoS的攻击行为被称为DoS攻击，其目的是使计算机或网络无法提供正常的服务

  8、跨站脚本攻击

  利用网站漏洞从用户那里恶意盗取信息，在链接中插入恶意代码，就能够盗取用户信息。攻击者通常会用十六进制(或其他编码方式)将链接编码，以免用户怀疑它的合法性。网站在接收到包含恶意代码的请求之后会产成一个包含恶意代码的页面，而这个页面看起来就像是那个网站应当生成的合法页面一样。

  9、SQL注入

  通过将恶意的 Sql 查询或添加语句插入到应用的输入参数中，再在后台 Sql 服务器上解析执行进行的攻击，不是利用操作系统的BUG来实现攻击，而是针对程序员编写时的疏忽，通过SQL语句，实现无账号登录，甚至篡改数据库。

  10、URL 访问限制失效

  黑客可以访问非授权的资源连接强行访问一些登陆网页、历史网页。

  11、被破坏的认证和 Session 管理

  Session token 没有被很好的保护 在用户推出系统后，黑客能够盗窃 session。验证Session token 保护措施，防止盗窃session

  12、DNS攻击

  利用发包程序向DNS服务器发送不带任何负载的NULL数据包。由于数据包本身不符合协议规定，服务器在收到报文的时候将直接丢弃。因此这种攻击方式除非攻击流量比较大，否则不会有明显的效果。