0x01 被动攻击

  • 针对web应用程序的攻击可以分为主动攻击(Active Attack)和被动攻击(Passive Attack)

1、主动攻击:指的是攻击者直接攻击服务器
2、被动攻击:攻击者并不直接攻击服务器,而是针对网站用户设置陷阱,利用掉入陷阱的用户来攻击应用程序(一是获取消息内容,二是进行业务流分析)

  • 单纯的被动攻击

1、单纯的被动攻击:将用户诱导到设置有陷阱的网站就是一种单纯的被动
2、攻击案例:用户在浏览过了设置陷阱的网站后就会感染恶意软件(病毒等),理论上如何浏览器不存在漏洞(包括Flash等插件)这类单纯的被动攻击时行不通的

  • 恶意利用正常网站进行的被动攻击

step1:攻击者事先入侵正规网站,向其中嵌入恶意代码(前期准备)
step2:用户浏览含有恶意代码的内容(被动攻击过程)
step3:感染病毒(结果)

缺点:利用正常网站进行攻击要比自己准备一个网站要费事
优点:不需要专门将用户诱导到恶意网站;正规网站用户数量庞大;能非法利用正规网站功能从中获得利益;能窃取网站用户个人信息而获利

  • 在正常网站中设置陷阱的常用手法:

1、非法获取FTP等服务器的密码后篡改网站内容
2、通过攻击web服务器的安全隐患来篡改网站内容
3、通过SQL注入攻击来篡改网站内容
4、在社交网络等用户能够自己发布内容的网站上面,利用xss等方式实施攻击

  • 跨站被动攻击

初识web安全2--被动攻击与同源策略相关推荐

  1. 《web应用安全》被动攻击与同源策略

    被动攻击与同源策略 浏览器针对被动攻击的防御策略--沙盒(沙盒的核心概念为同源策略) 主动攻击 指攻击者直接攻击web服务器,如SQL注入 被动攻击 单纯的被动攻击攻击者针对网站的用户设下陷阱,利用掉 ...

  2. 漫谈同源策略(SOP)和跨域资源共享(CORS)

    前言提要: ​ 面试的时候被问到了是否了解同源策略,并没有了解过 (虽然朋友洋写了文章,但是我当时也没有仔细琢磨).所以有了这篇文- ​ 据说了解同源策略是十分有必要的,要深入了解XSS/CSRF等w ...

  3. 同源策略及其绕过详解

    同源策略及其绕过详解 前言 最近在看吴翰清写的 白帽子讲 web安全 一书,遇到同源策略一词,我便开始深入学习相关内容,查阅了许多资料后,写该博客梳理.记录所学知识 基础知识 Origin(源) Or ...

  4. 一篇文章带你了解Web主被动攻击手段

    今天这篇文章我们来讲讲以Web站点作为目标的攻击手段,以及这些攻击会对Web站点造成的影响. 其实,一般来说HTTP协议是不会成为被攻击的对象的,而应用在协议上的服务器与客户端,以及运行在服务器上的应 ...

  5. 针对Web应用的【攻击模式篇】

    攻击模式:主动攻击.被动攻击. 主动攻击是指攻击者通过直接访问Web应用,把攻击代码传入的攻击模式. 具有代表性的攻击:SQL注入攻击和OS命令注入攻击. 被动攻击是指利用圈套策略执行攻击代码的攻击模 ...

  6. 第二天学习笔记:(MDN HTML学习、web安全策略与常见攻击、语义化)

    一:Web入门 1:web文件命名 在文件名中应使用连字符(-).搜索引擎把连字符当作一个词的分隔符, 但不会以这种方式处理下划线. 养成在文件夹和文件名中使用小写,并且使用短横线而不是空格来分隔的习 ...

  7. 【35】WEB安全学习----XST攻击

    本章为知识扩充部分,此攻击现浏览器已不支持发送TRACE请求,故只需要了解攻击原理即可. XST攻击原理 "Cross-Site-Tracing"简称为XST,如果开发者在设置co ...

  8. 主动攻击与被动攻击的区别以及可靠性、可用性、保密性、完整性、不可抵赖性、可控性等的概念

    主动攻击与被动攻击的区别 一 .被动攻击 被动攻击即窃听,是对系统的保密性进行攻击,如搭线窃听.对文件或程序的非法复制等,以获取他人的信息.被动攻击又分为两类:一类是获取消息的内容,很容易理解;另一类 ...

  9. 信息安全基础知识(五)主动攻击与被动攻击

    一 .被动攻击 被动攻击即窃听,是对系统的保密性进行攻击,如搭线窃听.对文件或程序的非法复制等,以获取他人的信息.被动攻击又分为两类:一类是获取消息的内容,很容易理解;另一类是进行业务流分析,假如通过 ...

最新文章

  1. java简单的ID生成器
  2. WPF查找子控件和父控件方法
  3. CowNew开源-sql解析引擎和cownewsql阶段成果汇报
  4. 点击延迟_解决移动端浏览器点击延迟300ms的问题——FastClick用法
  5. python条件表达式三门课至少有一门及格_Python/ MySQL练习题(一)
  6. Hive(6)-DML数据操作
  7. jQuery源码解读三选择器
  8. 未来几十年替代手机的是什么产品?
  9. 比特币 出块速度多少 为什么每秒7笔 以太坊15TPS
  10. POC_若依管理系统
  11. windows下删除文件:提示无法删除文件,无法读源文件或磁盘
  12. 面试复盘系列:从象棋提升之道趣说面试提升之法
  13. html中怎么让div撑开,html中子div用了浮动怎样让父div的大小自动撑开(清除浮动)...
  14. 诺华制药:一家被低估的瑞士制药巨头
  15. 台式计算机操作系统的安装方法,台式机电脑重装win10系统详细教程
  16. 防泄密-工业自动化控制行业源代码防泄密以及技术文档防泄密解决方案
  17. Android端推送消息之极光推送
  18. 华为超融合一体机助力深圳海关业务性能大幅提升
  19. Android R.java类的手动生成
  20. 计算机类2019ei中国会议,EI会议期刊系列 2019 - EI会议期刊系列-工学

热门文章

  1. Grid网格布局实例
  2. 安卓编程基础——网格布局
  3. 静电计算机故障的原因,电脑出现故障的原因
  4. discuz插件,商业插件,免费插件
  5. 淘宝关闭“售后评价”功能 消费者依然有权通过追加评价
  6. Android 源码 Wi-Fi 连接流程分析
  7. BIOS的二十四个解答
  8. 关于echarts柱状图和折线图的样式修改
  9. 吴恩达深度学习笔记course3 week2 测验
  10. vectornator安卓_VectornatorX软件下载-VectornatorXVectorDesign安卓版下载v1.0_多特手游