系统安全常见漏洞及案例分析
发布时间:2021-03-13 13:47
工程项目中常采用各种技术来保证整个信息系统的安全,在投入使用之前都还需要进行渗透测试,来发现系统隐藏的风险,对发现的问题提前进行防范。
【文章来源】:邢台职业技术学院学报. 2020,37(01)
【文章页数】:5 页
【文章目录】:
一、前言
二、信息收集
(一)被动收集
(二)主动收集
三、渗透测试
(一)攻击平台
1. 攻击WEB平台
2. 攻击WEB框架
(二)攻击认证
1. 密码保护性不强
2. 密码爆破登录
3. 前端效验缺陷
4. 明文敏感传输信息
5. 撞库漏洞
(三)攻击会话
1. 身份标识过于简单
2. 身份标识可预测
(四)访问控制攻击
1. 完全不受保护的功能
2. 基于标识符的功能
3. 多阶段功能
4. 静态文件
5. 访问控制方法不安全
(1)基于参数的访问控制
(2)基于Referer的访问控制
(3)基于位置的访问控制
(五)攻击数据存储
1. SQL语句注入漏洞
2. xpath注入
(六)攻击应用程序逻辑
1. 例1:欺骗修改密码功能
(1)功能
(2)假设
(3)攻击方法
2. 例2:直接结算
(1)功能
(2)假设
(3)攻击方法
3. 例3:获得购买折扣
(1)功能
(2)假设
(3)攻击方法
(七)攻击用户
1. XSS攻击
四、结束语
【参考文献】:
期刊论文
[1]Web渗透测试方法研究[J]. 孙梅,郭宇燕,韩超,余磊. 通化师范学院学报. 2019(02)
[2]WEB应用安全研究[J]. 黄定华,徐志伟. 电子技术与软件工程. 2016(16)
本文编号:3080327
【文章来源】:邢台职业技术学院学报. 2020,37(01)
【文章页数】:5 页
【文章目录】:
一、前言
二、信息收集
(一)被动收集
(二)主动收集
三、渗透测试
(一)攻击平台
1. 攻击WEB平台
2. 攻击WEB框架
(二)攻击认证
1. 密码保护性不强
2. 密码爆破登录
3. 前端效验缺陷
4. 明文敏感传输信息
5. 撞库漏洞
(三)攻击会话
1. 身份标识过于简单
2. 身份标识可预测
(四)访问控制攻击
1. 完全不受保护的功能
2. 基于标识符的功能
3. 多阶段功能
4. 静态文件
5. 访问控制方法不安全
(1)基于参数的访问控制
(2)基于Referer的访问控制
(3)基于位置的访问控制
(五)攻击数据存储
1. SQL语句注入漏洞
2. xpath注入
(六)攻击应用程序逻辑
1. 例1:欺骗修改密码功能
(1)功能
(2)假设
(3)攻击方法
2. 例2:直接结算
(1)功能
(2)假设
(3)攻击方法
3. 例3:获得购买折扣
(1)功能
(2)假设
(3)攻击方法
(七)攻击用户
1. XSS攻击
四、结束语
【参考文献】:
期刊论文
[1]Web渗透测试方法研究[J]. 孙梅,郭宇燕,韩超,余磊. 通化师范学院学报. 2019(02)
[2]WEB应用安全研究[J]. 黄定华,徐志伟. 电子技术与软件工程. 2016(16)
本文编号:3080327
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/3080327.html
