之前文章提到的所有攻击都是新手攻击者使用的,遵循好的编程实践可以帮助他们停止攻击。现在我们来看看技术先进的攻击,这在今天也很常见。
Cookie中毒
如前所述,cookie是驻留在浏览器中的小信息片段(在客户端计算机的硬盘驱动器上),并用于存储用户会话特定的信息。它是一个cookie,它能记住我们的购物车内容、我们的偏好和以前的登录信息,以便提供丰富的Web体验。
虽然篡改cookie并不是很容易,但是专业攻击者可以控制它并操纵其内容。中毒是通过木马或病毒实现的,该病毒位于后台,并持续伪造cookies以收集用户的个人信息并将其发送给攻击者。
此外,病毒还可以改变cookie的内容,导致严重的问题,例如提交购物车内容,以便将购买的商品交付给黑客可访问的虚拟地址,或让浏览器连接到广告服务器,这有助于攻击者获得资金等。如果会话信息存储在cookie中,专业攻击者可以访问它并窃取会话,从而导致中间人的攻击。
会话劫持
Web服务器同时与多个浏览器进行对话,以接收请求并交付所请求的内容。当每个连接被建立时,Web服务器需要有一种方法来维护每个连接的唯一性。它使用会话令牌来生成动态生成的文本字符串,这些字符串包括IP地址、日期、时间等。
攻击者可以通过在网络上以编程方式或嗅探,或通过对受害者计算机执行客户端脚本攻击来窃取该令牌。一旦被盗,该令牌可用于创建假Web请求并窃取受害者用户的会话和信息。
URL查询字符串篡改
从数据库服务器中提取数据并将其显示在网页上的网站经常被发现在主URL中使用查询字符串。例如,如果网站URL是//www.yiersan.cc/,它可以使用//www.yiersan.cc/showdata?field1=10&field2=15作为参数传递field1和field2,并将它们分别值到数据库,结果输出以网页的形式提供给浏览器。
网站建设网站