返回介绍

第 3 章 抛传 - 网站应用程序漏洞利用

发布于 2024-10-13 11:41:06 字数 799 浏览 0 评论 0 收藏 0

0300

在过去几年中,我们经历了一些来自外部的严重网络攻击事件。Apache Struts 2 网站(尽管 Equifax 事件还没有正式确认)、Panera 网站和优步网站泄露了大量数据。毫无疑问,我们还会看到其他一些互联网网站,由于被攻击而导致严重的数据泄露事件。

整个安全行业在以周期性的方式发展。如果查看 OSI 模型的各个层级,那么会发现攻击者每隔一年就转移到不同的层级。对于网站来说,早在 21 世纪初,就有大量的 SQLi 和 RFI 类型漏洞被攻击者利用。然而,一旦公司开始加固网站外部安全措施,并开始进行外部渗透测试,攻击者就转向最初进入点 - 第 8 层即社交工程(网络钓鱼)攻击。现在,正如我们看到的,公司通过下一代端点/防火墙提升内部的安全性,攻击者的重点转向应用程序漏洞利用。我们还看到应用程序、API 和语言的复杂性大幅增加,这导致许多旧的漏洞重新出现,甚至产生新的漏洞。

由于本书倾向于采用红队的思路,因此我们不会深入研究所有不同的 Web 漏洞或者如何手工利用这些漏洞。本书不会将 Web 漏洞逐一罗列。本书关注红队和“坏人”在现实世界中使用的漏洞,这些漏洞会导致个人身份信息、主机和网络泄露。如果您想详细了解网站漏洞类型,我强烈建议您参考《OWASP 测试指南》一书。

请注意,由于本书第 2 版中的很多攻击方法没有改变,因此在本章练习中我们将不再重复 SQLMap、IDOR 攻击和 CSRF 漏洞等示例。我们将关注更新、更重要的攻击方法。

如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。

扫码二维码加入Web技术交流群

发布评论

需要 登录 才能够评论, 你可以免费 注册 一个本站的账号。
列表为空,暂无数据
    我们使用 Cookies 和其他技术来定制您的体验包括您的登录状态等。通过阅读我们的 隐私政策 了解更多相关信息。 单击 接受 或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。
    原文