- 1、本文档共27页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
浅谈网络攻击手段ppt课件
浅谈网络攻击手段 CUIT三叶草工作组 —黑萝卜[s.y.c] 当前流行攻击手段 针对web application的攻击 针对操作系统以及应用软件的攻击 针对网络边界(网络设备)的攻击 协议缺陷的利用 社会工程学钓鱼 Web application安全 网络应用程序,一般指web服务器端的cgi程序,常用的有asp, php, jsp以及.net.因此针对web application的攻击也就演化为对脚本程序安全缺陷的利用和攻击.通常出现这些脆弱点的原因都是由于代码编写者,也就是脚本程序员的安全意识不高,或者编码疏忽造成的.没有设计好足够完整的黑列表,从而导致过滤不严,使得客户端所输入的恶意代码,危险数据得以在服务器端正常运行,进而操纵数据库,达到攻击者的目的. 系统应用软件安全 纵观当前软件,无论是系统软件还是应用软件,存在安全缺陷的原因无非以下几种情况:编程语言本身缺陷;设计阶段部署失误;编码阶段人为原因,如故意留后门;测试阶段做的不够. 例如windows平台下很有名的FTP服务端软件server-u,总是爆出漏洞,为攻击者获得webshell后提权增加了可能性. 另外值得一提的是编程语言本身缺陷的问题,例如对C语言中strcpy,strcat不合理的利用,将导致缓冲区溢出. 网络边界安全 网络边界包括路由器,防火墙,入侵检测系统IDS,虚拟专用网VPN,DMZ和被屏蔽的子网等. 路由器作为划分网段的设备,起着不可替代的作用.可是上面安装的IOS与其他软件一样,也无法逃避存在安全缺陷的命运.攻击者则可利用其脆弱点得到路由器的控制权. 防火墙分为包过滤和应用代理2大类,但把以上两种技术结合的防火墙已经出现,且日趋成熟.可是由于防火墙自身局限性等特点,绕过防火墙对于富有经验的攻击者而言简直易如反掌. IDS在设计上本就不完美,它只能根据数据库中已存在的记录去判定什么是入侵行为,应该发出警报,而什么不需要. 协议缺陷的利用 针对互联网目前广泛使用的TCP/IP协议族,各个层次不同的协议均存在一定程度的缺陷.从而导致了诸如ARP欺骗,DNS欺骗,DHCP欺骗,以及拒绝服务攻击,中间人攻击等手段. 拒绝服务攻击根据利用方法不同又分为资源耗尽和带宽耗尽.通常是由于攻击者对于攻击目标无计可施时所实施的最卑劣的手段.往往会造成目标机器或网络崩溃,瘫痪. 去年11月, 安全焦点web服务器被D持续近一个星期,造成网站长时间不能访问就是典型的拒绝服务攻击. 中间人攻击(man in middle),攻击者通过嗅探,监听等手段冒充服务器信任机对服务器实施欺骗,实现攻击者的目的. 社会工程学以及钓鱼 社会工程学其实就是攻击者利用人性的弱点,使用诸如欺骗,伪造,冒充等手段获得想要的信息,从而进一步攻击的手段.如若使用恰当,往往能获得令人意想不到的结果. 脚本攻击技术 SQL注入技术 跨站脚本攻击技术 利用cookie的攻击(cookie欺骗及注入) 利用上传漏洞的攻击 PHP的几个特性漏洞(文件包含、变量未初始化等) Webshell提权技术 一个经典的SQL注入漏洞 首先看一段登录验证代码: % on error resume next if Request(name) and Request(psw) then DataName=DB.db adm=Trim(Request(“name”)) /*获取用户名,没有经过过滤*/ psw=Trim(Request(psw)) set conn=server.CreateObject(adodb.connection) connstr=Provider=Microsoft.jet.oledb.4.0;data source= server.MapPath(DataName) conn.open connstr set rs=conn.execute(“select * from [ADM] where adm=‘”adm“’ and psw=‘”psw“’”) /*把获取的用户名密码带入SQL语句中查询*/ if not (rs.bof and rs.eof) then Response.Write(“登录成功!) Response.end end if end if % 初看没有什么问题,应该输入正确的用户
您可能关注的文档
- 模拟电子技术基础.PPT
- 模拟面试1.ppt
- 欢度童年卡通动漫PPT模板.ppt
- 模煳逻辑控制及其应用复习1.ppt
- 欢迎参加纳税人学堂知识讲座.ppt
- 欧姆定律在串、并联电路中的应用.ppt
- 欧洲,六至十一世纪黑暗时代ppt课件.ppt
- 正态分布与医学参考值范围.ppt
- 正激变换器的磁复位方式.ppt
- 正确认识高职院校内部质量保证体系诊断与改进.ppt
- 基于人工智能教育平台的移动应用开发,探讨跨平台兼容性影响因素及优化策略教学研究课题报告.docx
- 高中生物实验:城市热岛效应对城市生态系统服务功能的影响机制教学研究课题报告.docx
- 信息技术行业信息安全法律法规研究及政策建议教学研究课题报告.docx
- 人工智能视角下区域教育评价改革:利益相关者互动与政策支持研究教学研究课题报告.docx
- 6 《垃圾填埋场渗滤液处理与土地资源化利用研究》教学研究课题报告.docx
- 小学音乐与美术教师跨学科协作模式构建:人工智能技术助力教学创新教学研究课题报告.docx
- 《航空航天3D打印技术对航空器装配工艺的创新与效率提升》教学研究课题报告.docx
- 教育扶贫精准化策略研究:人工智能技术在区域教育中的应用与创新教学研究课题报告.docx
- 《区块链技术在电子政务电子档案管理中的数据完整性保障与优化》教学研究课题报告.docx
- 《中医护理情志疗法对癌症患者心理状态和生活质量提升的长期追踪研究》教学研究课题报告.docx
最近下载
- VAV-空调系统运行中的问题分析和改造的研究.pdf VIP
- 液冷盲插快接头发展研究报告 2025.pdf
- 《高速公路基础设施数字化建设数据标准》.pdf VIP
- DB21T 1388-2005 风沙半干旱地区花生节水高产优质栽培技术规程.pdf VIP
- 九江卫生系统招聘2022年考试真题及答案解析六1.docx VIP
- 九江2022年卫生系统招聘考试真题及答案解析一_1.docx VIP
- 2025年榆林能源集团有限公司招聘工作人员笔试真题及答案.docx VIP
- GB_T 18879-2020 滑道通用技术条件.docx VIP
- 鼻出血急救与护理.pptx
- 《医疗机构消防安全管理九项规定》考核试题.pdf VIP
文档评论(0)