攻击者如何绕过常用的Web应用防火墙? 注入 说到通过像Web应
  

书涵139 1410

{{ttag.title}}
攻击者如何绕过常用的Web应用防火墙?
注入
说到通过像Web应用程序这样的入口窃取大量数据,SQL注入是一种切实可行的方法。注入攻击最早记录于25年前,至今仍被广泛使用。

数据库查询的开始,常常被设计成检索所有信息,然后是过滤器仅显示一条信息。比如说,一个常用的查询首先检索所有客户信息,然后过滤特定的客户ID,数据库对照表中的每一行执行此命令,并返回该语句为真的表行上所请求的信息,通常这是单单一行。攻击者操纵用于填充此类查询以插入数据库命令的表单字段,导致对表中的每一行计算结果为true的语句,从而在响应中返回整个表的内容。在理想情况下,开发人员总是会保护表单安全,因此注入攻击不可能得逞。然而,开发人员有时可能容易出错,因此并非所有表单字段都一直受到保护。

最新的OWASP十大列表如今在注入类别中包含了跨站脚本攻击。在跨站脚本攻击中,攻击者将脚本插入到你的网站或Web URL中,以便毫无戒备的受害者在浏览器中执行这些脚本,从而允许攻击者将cookie、会话信息或其他敏感数据传输到他们自己的Web服务器。

失效的访问控制
失效的访问控制允许攻击者在应用程序或API开发人员的预期行为之外进行操作。该漏洞可能导致未经授权的信息泄露、所有数据被篡改或破坏,以及能够越权执行业务功能。

OWASP最近将失效的访问控制严重性提升到了Web应用程序十大漏洞的第一位。新发现的重要性在于,这个漏洞类别特别适用于API——与已经存在了很长时间的Web应用程序相比,API是一条比较新的攻击途径,攻击者发现API并试图从中泄露信息。由于API不是为人工输入而设计的,因此用于Web应用程序的相同类型的验证输入和检查可能不是开发人员最关心的,有时API是在安全团队和运维团队不知情的情况下发布的。

易受攻击和过时的组件
每当在常用组件中发现新的漏洞,就会导致大量机器人生成的流量扫描互联网,寻找可能被破坏的系统。如果你搭建了一台Web服务器,允许别人通过互联网来访问,很快就会看到向新搭建的Web服务器上,并不存在的特定类型的应用程序发出请求的日志条目,这种活动只是黑客在互联网上广撒网,寻找易受攻击的服务器。

WAF的主要功能是检查HTTP请求的内容——包括攻击载荷所在的请求体和请求头,并决定是应该允许请求还是阻止请求。一些WAF还会检查响应,以评估是否存在未经授权的数据或敏感信息泄露,它们还将记录响应结构(比如Web表单或cookie),从而有效地确保后续请求不被篡改。

打赏鼓励作者,期待更多好文!

打赏
暂无人打赏

海波0322 发表于 2023-12-21 14:55
  
有助于学习,感谢分享!!
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
【 社区to talk】
安全效果
干货满满
技术笔记
每日一问
信服课堂视频
GIF动图学习
新版本体验
技术咨询
2023技术争霸赛专题
功能体验
产品连连看
安装部署配置
通用技术
秒懂零信任
技术晨报
自助服务平台操作指引
原创分享
标准化排查
排障笔记本
玩转零信任
排障那些事
SDP百科
深信服技术支持平台
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
升级&主动服务
高频问题集锦
社区新周刊
POC测试案例
全能先锋系列
云化安全能力

本版达人