SQL注入漏洞SQL注入漏洞的危害不僅體現(xiàn)在數(shù)據(jù)庫層面,還有可能危及承載數(shù)據(jù)庫的操作系統(tǒng);如果SQL注入被用來掛馬,還可能用來傳播惡意軟件等,這些危害包括但不限于:
數(shù)據(jù)庫信息泄漏:數(shù)據(jù)庫中存儲(chǔ)的用戶隱私信息泄露。
網(wǎng)頁篡改:通過操作數(shù)據(jù)庫對(duì)特定網(wǎng)頁進(jìn)行篡改。
網(wǎng)站被掛馬,傳播惡意軟件:修改數(shù)據(jù)庫一些字段的值,嵌入網(wǎng)馬鏈接,進(jìn)行掛馬攻擊。
數(shù)據(jù)庫被惡意操作:數(shù)據(jù)庫服務(wù)器被攻擊,數(shù)據(jù)庫的系統(tǒng)管理員帳戶被竄改。
服務(wù)器被遠(yuǎn)程控制,被安裝后門:經(jīng)由數(shù)據(jù)庫服務(wù)器提供的操作系統(tǒng)支持,讓黑客得以修改或控制操作系統(tǒng)。
破壞硬盤數(shù)據(jù),癱瘓全系統(tǒng)。
XSS跨站腳本漏洞
XSS跨站腳本漏洞的危害包括但不限于:
釣魚欺騙:最典型的就是利用目標(biāo)網(wǎng)站的反射型跨站腳本漏洞將目標(biāo)網(wǎng)站重定向到釣魚網(wǎng)站,或者注入釣魚JavaScript以監(jiān)控目標(biāo)網(wǎng)站的表單輸入,甚至發(fā)起基于DHTML更高級(jí)的釣魚攻擊方式。
網(wǎng)站掛馬:跨站后利用IFrame嵌入隱藏的惡意網(wǎng)站或者將被攻擊者定向到惡意網(wǎng)站上,或者彈出惡意網(wǎng)站窗口等方式都可以進(jìn)行掛馬攻擊。
身份盜用:Cookie是用戶對(duì)于特定網(wǎng)站的身份驗(yàn)證標(biāo)志,XSS可以盜取用戶的Cookie,從而利用該Cookie獲取用戶對(duì)該網(wǎng)站的操作權(quán)限。如果一個(gè)網(wǎng)站管理員用戶Cookie被竊取,將會(huì)對(duì)網(wǎng)站引發(fā)巨大的危害。
盜取網(wǎng)站用戶信息:當(dāng)能夠竊取到用戶Cookie從而獲取到用戶身份時(shí),攻擊者可以獲取到用戶對(duì)網(wǎng)站的操作權(quán)限,從而查看用戶隱私信息。
垃圾信息發(fā)送:比如在SNS社區(qū)中,利用XSS漏洞借用被攻擊者的身份發(fā)送大量的垃圾信息給特定的目標(biāo)群體。
劫持用戶Web行為:一些高級(jí)的XSS攻擊甚至可以劫持用戶的Web行為,監(jiān)視用戶的瀏覽歷史,發(fā)送與接收的數(shù)據(jù)等等。
XSS蠕蟲:XSS 蠕蟲可以用來打廣告、刷流量、掛馬、惡作劇、破壞網(wǎng)上數(shù)據(jù)、實(shí)施DDoS攻擊等。
信息泄露漏洞CGI漏洞
CGI漏洞大多分為以下幾種類型:信息泄露、命令執(zhí)行和溢出,因此危害的嚴(yán)重程度不一。信息泄露會(huì)暴露服務(wù)器的敏感信息,使攻擊者能夠通過泄露的信息進(jìn)行進(jìn)一步入侵;命令執(zhí)行會(huì)對(duì)服務(wù)器的安全造成直接的影響,如執(zhí)行任意系統(tǒng)命令;溢出往往能夠讓攻擊者直接控制目標(biāo)服務(wù)器,危害重大。
內(nèi)容泄露漏洞
內(nèi)容泄露漏洞,會(huì)被攻擊者利用導(dǎo)致其它類型的攻擊,危害包括但不局限于:
內(nèi)網(wǎng)ip泄露:可能會(huì)使攻擊者滲透進(jìn)入內(nèi)網(wǎng)產(chǎn)生更大危害。
數(shù)據(jù)庫信息泄露:讓攻擊者知道數(shù)據(jù)庫類型,會(huì)降低攻擊難度。
網(wǎng)站調(diào)試信息泄露:可能讓攻擊者知道網(wǎng)站使用的編程語言,使用的框架等,降低攻擊難度。
網(wǎng)站目錄結(jié)構(gòu)泄露:攻擊者容易發(fā)現(xiàn)敏感文件。
絕對(duì)路徑泄露:某些攻擊手段依賴網(wǎng)站的絕對(duì)路徑,比如用SQL注入寫webshell。
電子郵件泄露:郵件泄露可能會(huì)被垃圾郵件騷擾,還可能被攻擊者利用社會(huì)工程學(xué)手段獲取更多信息,擴(kuò)大危害。
文件泄露漏洞敏感文件的泄露可能會(huì)導(dǎo)致重要信息的泄露,進(jìn)而擴(kuò)大安全威脅,這些危害包括但不局限于:
帳號(hào)密碼泄漏:可能導(dǎo)致攻擊者直接操作網(wǎng)站后臺(tái)或數(shù)據(jù)庫,進(jìn)行一些可能有危害的操作。
源碼泄露:可能會(huì)讓攻擊者從源碼中分析出更多其它的漏洞,如SQL注入,文件上傳,代碼執(zhí)行等。
系統(tǒng)用戶泄露:可能會(huì)方便暴力破解系統(tǒng)密碼。
創(chuàng)新互聯(lián)一直通過網(wǎng)站建設(shè)和網(wǎng)站營(yíng)銷幫助企業(yè)獲得更多客戶資源。 以"深度挖掘,量身打造,注重實(shí)效"的一站式服務(wù),以成都網(wǎng)站設(shè)計(jì)、做網(wǎng)站、移動(dòng)互聯(lián)產(chǎn)品、成都全網(wǎng)營(yíng)銷推廣服務(wù)為核心業(yè)務(wù)。十年網(wǎng)站制作的經(jīng)驗(yàn),使用新網(wǎng)站建設(shè)技術(shù),全新開發(fā)出的標(biāo)準(zhǔn)網(wǎng)站,不但價(jià)格便宜而且實(shí)用、靈活,特別適合中小公司網(wǎng)站制作。網(wǎng)站管理系統(tǒng)簡(jiǎn)單易用,維護(hù)方便,您可以完全操作網(wǎng)站資料,是中小公司快速網(wǎng)站建設(shè)的選擇。
當(dāng)前文章:網(wǎng)站漏洞的危害
標(biāo)題來源:http://www.rwnh.cn/article2/scgoic.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供移動(dòng)網(wǎng)站建設(shè)、網(wǎng)站排名、小程序開發(fā)、網(wǎng)站營(yíng)銷、關(guān)鍵詞優(yōu)化、網(wǎng)站設(shè)計(jì)
廣告
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來源:
創(chuàng)新互聯(lián)