PC + 手机 + 微信网站 + 小程序 + APP,五端合一
登录验证漏洞
①登录验证漏洞指的是攻击者绕过登录时的验证系统直接进入到其他页面的漏洞。例如有些网站的页面没有做用户登录验证系统功能设计。那么,攻击者在收集到网站的页面完整路径和文件名后,在浏览器的地址栏中直接输入完整URL路径,就可以不进行验证而进入指定页面。
②登录验证漏洞的另一种是登录验证页面漏洞。多数网站都有登录页面,要求用户输入正确的用户名和密码后才可以进入页面,而验证系统都是通过判定用户输入的用户名和密码是否存在于数据库中来进行。但是,如果程序设计的不够严谨,则会出现这种漏洞。
SQL注入漏洞
在网页设计中,多数人机交互操作都是利用表单来实现的,如果在设计过程中没有对用户输入数据的正当性进行判定的话,攻击者可以在文本框中提交一段SL查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是SL注入。
文件上传的漏洞
文件上传漏洞指的是网络攻击者上传了一个可执行的恶意代码到服务器并被执行。在我们平时常用的很多网站中,例如电子邮件网站、论坛等很多网站中,都允许用户上传文件、图片、视频等内容到网站服务器中。如果网站的开发人员没有做好身份的认证和数据的过濾排查,很有可能被黑客利用。黑客可以利用如 Telnet服务等功能对网站内容和数据进行修改和破坏。这里上传的恶意文件可以是木马程序、病毒, Welsher或者恶意脚本等。这种攻击方式直接、简单又有效。
网站缺乏授权대
有些网站在进行网页编程设计时,程序设计人员往往会使用比较繁琐的网络安全配置,使得网站往往缺乏授权,这就造成了网络服务在其应用运行中出现非常巨大的网络运行安全缺陷。利用这些安全缺陷,网络黑客们可以很容易地对网站的网络服务器进行远程的入侵和破坏,给网站的安全和企业的经济利益带来了巨大的威胁和危害。再加上软件设置的密码简单或是网络入口的防火墙性能设置过低等安全缺陷,也可以让网络黑客和网络病毒能够非常容易的对网站造成侵入和破坏。
网页病毒的传播
网页病毒是现今最常见的安全攻击。病毒具有寄生性、传染性、可触发性等特点。这些计算机病毒都是攻击者事先设计好的可执行文件。例如在网站设计文件中嵌入 Script语言编写的恶意代码,这种 Script 1代码可以利用浏览器的漏洞来实现病毒植入。当用户登录这些网站时,编写好的Scip代码会被执行,网页病毒一旦被触发,就可以对网页服务器资源进行簒改。例如,我们在上网时经常会发现打开某个页面后,360安全卫士会提醒有程序正在修改浏览器首页。这就是网页病毒的一种现象。病毒和木马程序也有可能会关闭网页中的部分功能,使得用户无法正常使用网站系统等。最简单的方式就是网页自动跳转程序,而这种网页病毒编写起来比较容易,而且攻击也很直接。