激情五月天婷婷,亚洲愉拍一区二区三区,日韩视频一区,a√天堂中文官网8

<ul id="buwfs"><strike id="buwfs"><strong id="buwfs"></strong></strike></ul>
    <output id="buwfs"></output>
  • <dfn id="buwfs"><source id="buwfs"></source></dfn>
      <dfn id="buwfs"><td id="buwfs"></td></dfn>
      <div id="buwfs"><small id="buwfs"></small></div>
      <dfn id="buwfs"><source id="buwfs"></source></dfn>
      1. <dfn id="buwfs"><td id="buwfs"></td></dfn>
        始創(chuàng)于2000年 股票代碼:831685
        咨詢熱線:0371-60135900 注冊有禮 登錄
        • 掛牌上市企業(yè)
        • 60秒人工響應
        • 99.99%連通率
        • 7*24h人工
        • 故障100倍補償
        全部產(chǎn)品
        您的位置: 網(wǎng)站首頁 > 幫助中心>文章內(nèi)容

        十種攻擊途徑(attack vector)全解析

        發(fā)布時間:  2012/8/21 16:31:51

        1. AJAX中之跨站腳本攻擊

        例子, Yamanner蠕蟲利用了Yahoo Mail的AJAX的跨站腳本漏洞,Samy蠕蟲利用了MySpace.com的跨站腳本漏洞。

        2. XML 中毒(poisoning)

        攻擊者可以通過復制節(jié)點進行DOS攻擊,或者生成不合法的XML導致服務器端邏輯的中斷。攻擊者也可以操縱外部實體,導致打開任何文件或TCP連接端口。XML數(shù)據(jù)定義的中毒也可以導致運行流程的改變,助攻擊者獲取機密信息。

        3. 運行惡意的AJAX編碼

        AJAX編碼可以在不為用戶所知的情形下運行,假如用戶先登錄一個機密網(wǎng)站,機密網(wǎng)站返回一個會話 cookie,然后用戶在沒有退出機密網(wǎng)站的情形下,訪問攻擊者的網(wǎng)站,攻擊者網(wǎng)頁上的AJAX編碼可以(通過這個會話cookie?)去訪問機密網(wǎng)站上的網(wǎng)頁,從而竊取用戶的機密信息。(注:這里的解釋有點含糊,理論上講,瀏覽器不會把一個網(wǎng)站的會話cookie傳給另外一個網(wǎng)站的,即文中的這句 “When the browser makes an AJAX call to any Web site it replays cookies for each request. ”,不完全對)

        4. RSS / Atom 注入

        攻擊者可以在RSS feeds里注入Javascript腳本,如果服務器端沒有過濾掉這些腳本的話,在瀏覽器端會造成問題。

        5. WSDL掃描和枚舉

        WSDL提供了Web服務所用的技術,以及外露的方法,調(diào)用的模式等信息。假如Web服務對不必要的方法沒有禁止的話,攻擊者可以通過WSDL掃描找到潛在的攻擊點。

        6. 客戶端AJAX編碼中的數(shù)據(jù)驗證

        假如開發(fā)人員只依賴客戶端驗證,不在服務器端重新驗證的話,會導致SQL注入,LDAP注入等等。

        7. Web服務路由問題

        Web服務安全協(xié)議使用WS-Routing服務,假如任何中轉(zhuǎn)站被攻占,SOAP消息可以被截獲。

        8. SOAP消息的參數(shù)操作

        類似于SQL注入,假如對SOAP消息里節(jié)點的數(shù)據(jù)不做驗證的話。

        9. SOAP消息的XPATH注入

        類似于SQL注入,假如對數(shù)據(jù)不做驗證而直接做XPATH查詢的話。

        10. 對RIA胖客戶端二進制文件操作

        因為Rich Internet Applications的組件是下載到瀏覽器本地的,攻擊者可以對二進制文件進行逆向工程,反編譯編碼,通過改動文件,跳過認證邏輯 。


        本文出自:億恩科技【mszdt.com】

        服務器租用/服務器托管中國五強!虛擬主機域名注冊頂級提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM]

      2. 您可能在找
      3. 億恩北京公司:
      4. 經(jīng)營性ICP/ISP證:京B2-20150015
      5. 億恩鄭州公司:
      6. 經(jīng)營性ICP/ISP/IDC證:豫B1.B2-20060070
      7. 億恩南昌公司:
      8. 經(jīng)營性ICP/ISP證:贛B2-20080012
      9. 服務器/云主機 24小時售后服務電話:0371-60135900
      10. 虛擬主機/智能建站 24小時售后服務電話:0371-60135900
      11. 專注服務器托管17年
        掃掃關注-微信公眾號
        0371-60135900
        Copyright© 1999-2019 ENKJ All Rights Reserved 億恩科技 版權所有  地址:鄭州市高新區(qū)翠竹街1號總部企業(yè)基地億恩大廈  法律顧問:河南亞太人律師事務所郝建鋒、杜慧月律師   京公網(wǎng)安備41019702002023號
          0
         
         
         
         

        0371-60135900
        7*24小時客服服務熱線