五纵东、其他安全漏洞
(一)密碼破解
密碼破解有以下兩種手段:
? ? ? ? ● 通過網(wǎng)絡的密碼試錯
? ? ? ? ? ? ? ?○ 窮舉法
? ? ? ? ? ? ? ?○ 字典攻擊
? ? ? ? ● 對已加密密碼的破解 (指攻擊者入侵系統(tǒng)定鸟,已獲得加密或散列處理的密碼數(shù)據(jù)的情況)
? ? ? ? ? ? ? ?○ 通過窮舉法·字典攻擊進行類推
? ? ? ? ? ? ? ?○ 彩虹表
? ? ? ? ? ? ? ?○ 拿到密鑰
? ? ? ? ? ? ? ?○ 加密算法的漏洞
對已加密密碼的破解:
Web應用在保存密碼時,一般不會直接以明文的方式保存笨篷,通過散列函數(shù)做散列處理其他手段對要保存的密碼本身加密瞳秽。
(二)點擊劫持
點擊劫持?是指:利用透明的按鈕或鏈接做成陷阱,覆蓋在Web頁面之上率翅。然后誘使用戶在不知情的情況下练俐,點擊那個鏈接訪問內(nèi)容的一種攻擊手段。這種行為又稱為界面?zhèn)窝b冕臭。
(三)DoS 攻擊
DoS攻擊腺晾,是一種讓運行中的服務呈停止狀態(tài)的攻擊。有時也叫做服務停止攻擊或拒絕服務攻擊辜贵。
DoS攻擊的對象不僅限于Web網(wǎng)站悯蝉,還包括網(wǎng)絡設備及服務器等。
主要有兩種DoS攻擊方式:
? ? ? ● 集中利用訪問請求造成資源過載托慨,資源用盡的同時鼻由,實際上服務也就呈停止狀態(tài)。
? ? ? ● 通過攻擊安全漏洞使服務停止。
DDoS攻擊:多臺計算機發(fā)起的DoS攻擊稱為DDoS攻擊蕉世。
DDoS攻擊 通常利用那些感染病毒的計算機作為攻擊者的攻擊跳板蔼紧。
(四)后門程序
后門程序?是指:開發(fā)設置的隱藏入口,可不按正常步驟使用受限功能狠轻。
3種類型:
? ? ? ● 開發(fā)階段作為 Debug 調(diào)用的后門程序
? ? ? ● 開發(fā)者為了自身利益植入的后門程序
? ? ? ● 攻擊者通過某種方法設置的后門程序
可通過監(jiān)視進程和通信的狀態(tài)發(fā)現(xiàn)被植入的后門程序奸例。但設定在Web應用中的后門程序,由于和正常使用時區(qū)別不大向楼,通常很難發(fā)現(xiàn)查吊。