443
世紀東方
漏洞的危害
SQL注入漏洞
SQL注入漏洞的危害不僅體現在數據庫層麵,還有可能危及承載數據庫的操作係統;如果SQL注入被用來掛馬,還可能用來傳播惡意軟件等,這些危害包括但不限於:
數據庫信息泄漏:數據庫中存儲的用戶隱私信息泄露。
網頁篡改:通過操作數據庫對特定網頁進行篡改。
網站被掛馬,傳播惡意軟件:修改數據庫一些字段的值,嵌入網馬鏈接,進行掛馬攻擊。
數據庫被惡意操作:數據庫服務器被攻擊,數據庫的係統管理員帳戶被竄改。
服務器被遠程控製,被安裝後門:經由數據庫服務器提供的操作係統支持,讓黑客得以修改或控製操作係統。
破壞硬盤數據,癱瘓全係統。
XSS跨站腳本漏洞
XSS跨站腳本漏洞的危害包括但不限於:
釣魚欺騙:最典型的就是利用目標網站的反射型跨站腳本漏洞將目標網站重定向到釣魚網站,或者注入釣魚JavaScript以監控目標網站的表單輸入,甚至發起基於DHTML更高級的釣魚攻擊方式。
網站掛馬:跨站後利用IFrame嵌入隱藏的惡意網站或者將被攻擊者定向到惡意網站上,或者彈出惡意網站窗口等方式都可以進行掛馬攻擊。
身份盜用:Cookie是用戶對於特定網站的身份驗證標誌,XSS可以盜取用戶的Cookie,從而利用該Cookie獲取用戶對該網站的操作權限。如果一個網站管理員用戶Cookie被竊取,將會對網站引發巨大的危害。
盜取網站用戶信息:當能夠竊取到用戶Cookie從而獲取到用戶身份時,攻擊者可以獲取到用戶對網站的操作權限,從而查看用戶隱私信息。
垃圾信息發送:比如在SNS社區中,利用XSS漏洞借用被攻擊者的身份發送大量的垃圾信息給特定的目標群體。
劫持用戶Web行為:一些高級的XSS攻擊甚至可以劫持用戶的Web行為,監視用戶的瀏覽曆史,發送與接收的數據等等。
XSS蠕蟲:XSS 蠕蟲可以用來打廣告、刷流量、掛馬、惡作劇、破壞網上數據、實施DDoS攻擊等。
信息泄露漏洞
CGI漏洞
CGI漏洞大多分為以下幾種類型:信息泄露、命令執行和溢出,因此危害的嚴重程度不一。信息泄露會暴露服務器的敏感信息,使攻擊者能夠通過泄露的信息進行進一步入侵;命令執行會對服務器的安全造成直接的影響,如執行任意係統命令;溢出往往能夠讓攻擊者直接控製目標服務器,危害重大。
內容泄露漏洞
內容泄露漏洞,會被攻擊者利用導致其它類型的攻擊,危害包括但不局限於:
內網ip泄露:可能會使攻擊者滲透進入內網產生更大危害。
數據庫信息泄露:讓攻擊者知道數據庫類型,會降低攻擊難度。
網站調試信息泄露:可能讓攻擊者知道網站使用的編程語言,使用的框架等,降低攻擊難度。
網站目錄結構泄露:攻擊者容易發現敏感文件。
絕對路徑泄露:某些攻擊手段依賴網站的絕對路徑,比如用SQL注入寫webshell。
電子郵件泄露:郵件泄露可能會被垃圾郵件騷擾,還可能被攻擊者利用社會工程學手段獲取更多信息,擴大危害。
文件泄露漏洞
敏感文件的泄露可能會導致重要信息的泄露,進而擴大安全威脅,這些危害包括但不局限於:
帳號密碼泄漏:可能導致攻擊者直接操作網站後台或數據庫,進行一些可能有危害的操作。
源碼泄露:可能會讓攻擊者從源碼中分析出更多其它的漏洞,如SQL注入,文件上傳,代碼執行等。
係統用戶泄露:可能會方便暴力破解係統密碼。
最後更新:2017-01-10 21:30:48