HTTP學習筆記八
確認訪問使用者身份的認證
基於表單認證的標準規範尚未有定論,一般會使用Cookie來管理Session(會話)。以彌補HTTP協議中不存在的狀態管理功能。
構建Web內容的技術
HTML(HyperText Markup Language,超文字標記語言)是為了傳送web上的超文字而開發的標記語言。
Web的攻擊技術
簡單的HTTP協議本身並不存在安全性問題,因此協議本身幾乎不會成為攻擊的物件。應用HTTP協議的伺服器和客戶端,以及允許在伺服器上的Web應用資源才是攻擊目標。
現今幾乎所有的web網站都會使用會話(session)管理,加密處理等安全性方面的功能,而HTTP協議內並不具備這些功能。
對web應用的攻擊模式有以下兩種:
- 主動攻擊
- 被動攻擊
1.以伺服器為目標的主動攻擊
主動攻擊(active attack)是指攻擊者通過直接訪問web應用,把攻擊程式碼傳入的攻擊模式。
由於該模式是直接針對伺服器上的資源進行攻擊,因此攻擊者需要能夠訪問到那些資源。
主動攻擊模式裡具有代表性的攻擊是SQL注入攻擊和OS命令注入攻擊。
2.以伺服器為目標的被動攻擊
被動攻擊(passive attack)是指利用圈套策略執行攻擊程式碼的攻擊模式。在被動攻擊過程中,攻擊者不直接對目標web應用訪問發起攻擊。
被動攻擊模式中具有代表性的攻擊是跨站指令碼攻擊(XSS)和跨站點請求偽造。
跨站指令碼攻擊(Cross-Site Scripting,XSS)是指通過存在安全漏洞的web網站註冊使用者的瀏覽器內執行非法的HTML標籤或JavaScript進行的一種攻擊。
跨站指令碼攻擊可能造成以下影響:
- 利用虛假輸入表單騙取使用者個人資訊。
- 利用指令碼竊取使用者的Cookie值,被害者在不知情的情況下,幫助攻擊者傳送惡意請求。
- 顯示偽造的文章或圖片。
跨站點請求偽造(Cross-Site Request Forgeries,CSRF)攻擊是指攻擊者通過設定好的陷阱,強制對已完成認證的使用者進行非預期的個人資訊或設定資訊等某些狀態更新,屬於被動攻擊。
3.其他安全漏洞
1)密碼破解:算出密碼,突破認證。
2)點選劫持:利用透明的按鈕或連結做成陷進,覆蓋在web頁面之上。然後誘使使用者在不知情的情況下,點選那個連結訪問內容的一種攻擊手段,這種行為又稱為介面偽裝。
3)Dos攻擊:一種讓執行中的服務呈停止狀態的攻擊。有時也叫做服務停止攻擊或拒絕服務攻擊。Dos攻擊的物件不僅限於Web網站,還包括網路裝置及伺服器等。
4)後門程式:開發設定的隱藏入口,可不按正常步驟使用受限功能。利用後門程式就能夠使用原本受限制的功能。