行业资讯 ev-ssl-news2

您现在所在的位置 首页 > 行业资讯 > 最容易被黑客利用的10个网页漏洞

最容易被黑客利用的10个网页漏洞

你知道吗?平时我们所浏览的大部分http网站其实都是不安全的站点,因为http协议明文传输数据的特点,黑客可以通过各种手段找到漏洞,突破防御,从而窃取到我们的信息。以下10种都是常见的最容易被黑客攻击利用的漏洞:

  1. Cookie中毒–身份伪装

通过处理存放在浏览器cookie中的信息,黑客伪装成合法的用户然后就可以存取用户的信息。许多Web应用程序使用客户机上的cookie来保存信息(用户身份、时间戳等等)。由于cookie通常都没有加密,黑客可以对它们进行修改,这样就可以通过这些”中了毒的cookie”来欺骗应用程序。心存恶意的用户可以访问他人的账户然后像真正用户那样行事。

  1. 操纵隐藏字段–电子行窃

黑客能够很容易地更改网页原码中的隐藏字段以改变某件商品的价格。这些字段通常用来保存客户的会话的信息,以便减少服务器端复杂的数据库处理工作。由于电子商务应用程序使用隐藏字段来保存商品的价格, http页面在这方面有着明显的缺陷,找出隐藏字段,然后更改价目。而在真实环境中没有人能发现这些改动,而这家公司必须按照改动后的价格发送商品,甚至发送折扣。

  1. 篡改参数–欺诈

这种技术改变网站URL的参数。很多web应用程序无法确定嵌入在超链接中CGI参数的正确性。比如说,允许信用卡使用500,000元这样大额的限制,跳过网站的登陆界面以及允许对取消后的订单和客户信息进行访问。

  1. 缓冲区溢出–业务终止

通过使用某种形式的数据流,用过量的信息使服务器超载,黑客常常能够使服务器崩溃从而关闭网站。

  1. 跨站点脚本–截取信用

黑客向网站输入恶意代码,在目标服务器上运行一段看上去无害的错误的脚本程序会使黑客能够完全访问所获取的文档,服务器甚至有可能向黑客传送页面中的数据。

  1. 后门和debug选项–入侵

程序员经常在网站正式运转前在程序中留下调试选项。有时由于匆忙,他们忘记了关闭这些漏洞,使黑客能够自由地访问敏感信息。

  1. 强制浏览–强行侵入

通过改变程序流程,黑客能够对正常情况下无法获得的信息和程序的某些部分进行访问,如日志文件、管理工具以及web应用程序的源码。

  1. 潜入指令–秘密武器

黑客们常常通过木马植入危险的指令,通过运行恶意或未经授权的指令来破坏网站。

  1. 第三方的错误设置–弱化网站

一旦漏洞在公共网站上被公布和修正(比如Securityfocus),黑客就会获知这些新的安全漏洞。例如,通过一个设置错误,黑客就可以建立一个新数据库以避免使用在该网站上不能奏效的入侵方法。

  1. 已知漏洞–控制站点

各网站所使用的某些技术有一些固有的缺陷,这样就会被某个执著的黑客利用。举例来说,微软的ASP技术可以被用来获取管理员口令进而控制整个网站。

总结

一个熟练的黑客花上几个小时就能在不设防的http页面找到大大小小各种漏洞,从而通过实施攻击获取其中关键数据。现如今,强化网络安全建设已逐渐成为各大互联网公司的共识,不管是为了自身利益考虑还是为了用户信息安全考虑,开发者都需要为自己的站点部署一个安全可信的SSL证书