容易被攻擊的漏洞

  在當下的網路世界裡漏洞其實還很多,稍有不慎就會成為黑客的目標,造成不必要的損失,下面小編帶大家瞭解一下黑客常攻擊的漏洞有哪些。

  常見漏洞

  幾乎所有Sanctum進行過的檢查都發現各個網站都採取了嚴密的網路級安全措施例如防火牆和加密,這些站點仍然會使黑客能夠對客戶和公司進行入侵。

  1. Cookie中毒--身份偽裝

  通過處理存放在瀏覽器cookie中的資訊,黑客偽裝成合法的使用者然後就可以存取使用者的資訊。許多Web應用程式使用客戶機上的cookie來儲存資訊使用者身份、時間戳等等。由於cookie通常都沒有加密,黑客可以對它們進行修改,這樣就可以通過這些"中了毒的cookie"來欺騙應用程式。心存惡意的使用者可以訪問他人的賬戶然後象真正使用者那樣行事。

  2. 操縱隱藏欄位--電子行竊

  黑客能夠很容易地更改網頁原碼中的隱藏欄位以改變某件商品的價格。這些欄位通常用來儲存客戶的會話的資訊,以便減少伺服器端複雜的資料庫處理工作。由於電子商務應用程式使用隱藏欄位來儲存商品的價格,Sanctum的檢查人員就能夠看到網站的原始碼,找出隱藏欄位,然後更改價目。而在真實環境中沒有人能發現這些改動,而這家公司必須按照改動後的價格傳送商品,甚至傳送折扣。

  3. 篡改引數--欺詐

  這種技術改變網站URL的引數。很多web應用程式無法確定嵌入在超連結中CGI引數的正確性。比如說,允許信用卡使用500,000元這樣大額的限制,跳過網站的登陸介面以及允許對取消後的訂單和客戶資訊進行訪問。

  4. 緩衝區溢位--業務終止

  通過使用某種形式的資料流,用過量的資訊使伺服器超載,黑客常常能夠使伺服器崩潰從而關閉網站。

  5. 跨站點指令碼--擷取信用

  黑客向網站輸入惡意程式碼,在目標伺服器上執行一段看上去無害的錯誤的指令碼程式會使黑客能夠完全訪問所獲取的文件,伺服器甚至有可能向黑客傳送頁面中的資料。

  6. 後門和debug選項--入侵

  程式設計師經常在網站正式運轉前在程式中留下除錯選項。有時由於匆忙,他們忘記了閉這些漏洞,使黑客能夠自由地訪問敏感資訊。

  7. 強制瀏覽--強行侵入

  通過改變程式流程,黑客能夠對正常情況下無法獲得的資訊和程式的某些部分進行訪問,如日誌檔案、管理工具以及web應用程式的原始碼。

  8. 潛入指令--祕密武器

  黑客們常常通過木馬植入危險的指令,通過執行惡意或未經授權的指令來破壞網站。

  9. 第三方的錯誤設定--弱化網站

  一旦漏洞在公共網站上被公佈和修正比如Securityfocus,黑客就會獲知這些新的安全漏洞。例如,通過一個設定錯誤,黑客就可以建立一個新資料庫以避免使用在該網站上不能奏效的入侵方法。

  10. 已知漏洞--控制站點

  各網站所使用的某些技術有一些固有的缺陷,這樣就會被某個執著的黑客利用。舉例來說,微軟的ASP技術可以被用來獲取管理員口令進而控制整個網站。