最近读完了《Web入侵安全测试与对策》,从中获得了不少灵感。此书介绍了很多Web入侵的思路,以及国外著名安全站点,使我的眼界开阔了不少。在此,我重新把书中提到的攻击模式整理归纳了一遍,并附上相关的一些参考资料,希望会对各位Web开发人员和安全测试人员有所帮助。涛涛电脑知识网
现在Web攻击方式日新月异,但基本思想很多都源于下面的攻击方式,比如,下面提到的“SQL注入”和“命令注入”就是注入思想的不同体现。另外,本文的目的不在于“详细介绍每种提到的攻击技术”,而在于“让大家知道要程序安全,我们起码要了解哪些东西”
Web入侵攻击方式
一.客户端试探性攻击
1. 查找敏感信息
(1)HTML代码中的注释,隐藏域,及其他敏感信息。
现在很多工具可以帮助你分析网页,比如:PageSpy,Firebug等等。
(2)服务端出错信息。比如: