最新版本 (mm/dd/yy): 05/26/2009 翻译自Unicode Encoding 漏洞描述 该攻击利用了在应用程序上实施的Unicode数据格式解码机制中的缺陷。攻击者可以使用此技术对URL中的某些字符进行编码以绕过应用程序过滤器,从而访问Web服务器上的受限资源或强制浏览受保护的页面。 攻击示例 设想一个包含限制目录或文件(如包括应用用户名的appusers.txt)web应用。攻击者可以使用Unicode格式对字符序列“../”(路径遍历攻击)进行编码,并尝试访问受保护的资源,如下所示: 原始的目…
最新版本 (mm/dd/yy): 05/27/2009 翻译自Trojan Horse 漏洞描述 特洛伊木马是装成可信应用,包含恶意代码的程序。恶意代码可以被注入到正常应用中,伪装成电子邮件链接,或者隐藏在JavaScript页面中,针对易受攻击的互联网浏览器进行窥探式攻击。更多信息请参阅浏览器中间人攻击 木马的七种主要类型 远程访问木马(RAT):旨在让攻击者完全控制被感染的计算机。该木马通常伪装成实用程序。 数据传输木马:木马使用键盘记录技术来获取敏感信息,如密码、信用卡和银行信息,还有即时通讯信息,将它们送回…
最新版本 (mm/dd/yy): 04/23/2009 翻译自Traffic flood 漏洞描述 流量洪水是针对服务器DoS攻击的一种。该攻击利用了TCP连接的管理方式。该攻击包括生成大量精心设计的TCP请求,其目的是停止Web服务器或导致性能下降。该攻击还利用了HTTP协议的一个特点,在一个请求中同时打开多个连接。http协议的这个特殊功能,包括为每个html对象打开一个TCP连接并关闭它,有两种利用方式。连接攻击在连接建立期间完成,关闭攻击则在连接关闭期间完成。 攻击示例 连接攻击 这种类型的攻击包括使用不完…
最新版本 (mm/dd/yy): 06/3/2009 翻译自Parameter Delimiter 漏洞描述 此攻击基于对Web应用程序输入向量使用的参数分隔符进行操纵,以引起意外行为,如访问控制和授权绕过以及信息泄露等。 风险因素 待定 攻击示例 为了说明这个漏洞,我们将使用一个基于PHP编程语言的发布系统Poster V2上找到的漏洞。这个应用中包含了一个危险的漏洞,允许向"mem.php"文件中负责管理应用用户的用户领域(用户名、密码、电子邮箱地址和特权)插入数据。“mem.php”文件的一个例子,其中用户J…
最新版本(mm/dd/yy):09/1/2016 翻译自Function Injection 漏洞介绍 函数注入攻击包括从客户端向应用程序插入或“注入”函数名称。一次成功的函数注入攻击可以执行任何内置或者用户自定义的函数。函数注入攻击是注入攻击的一类,将带参数或无参的任意函数注入应用程序并执行。如果参数传递给注入函数,会导致远程代码执行。 风险因素 这些类型的漏洞可能很难找到,也可能很容易找到 如果找到,通常难以利用,取决于具体情况。 如果成功利用,影响可能包括机密性丧失,完整性丧失,可用性损失和/或责任丧失 攻击…
最新版本 (mm/dd/yy): 10/6/2015_ 翻译自Path Traversal 概览 路径遍历攻击(也称作目录遍历)的目标是访问web根目录外存储的文件和目录。通过操纵使用“点-斜线(../)”序列及其变体引用文件的变量或使用绝对文件路径,可以访问存储在文件系统上的任意文件和目录,包括应用程序源代码或配置和关键的系统文件。应该注意的是,对文件的访问受到系统操作访问控制的限制(例如在Microsoft Windows操作系统上锁定或使用中的文件)。这种攻击也被称为“点点斜线”,“目录遍历”,“目录爬升”和…
最新版本: 11/8/2012 翻译自Full Path Disclosure 漏洞描述 完整路径泄漏(FPD)漏洞使攻击者能够看到web根目录/文件的路径。 例如:/home/omg/htdocs/file/ 某些漏洞(如使用SQL注入中的load_file()查询来查看页面源)需要攻击者拥有要查看文件的完整路径。 风险因素 有关FDP的风险可能产生各种结果。例如,如果web根目录被泄露,攻击者可能会对其进行恶意利用,如将其与文件包含漏洞(请参阅PHP文件包含)结合使用以窃取有关Web应用程序或操作系统的其他配置…
最新版本: 04/16/2015 翻译自Format string attack 漏洞描述 当输入的字符串被应用评估为命令时,就会发生格式化字符串漏洞。由此,攻击者可以执行代码、读取栈上的信息或者在运行的程序上引发段错误,和其它导致可能危及系统安全性或稳定性的新行为。 为了理解这种攻击,有必要了解构成它的组件。 格式化函数是ANSI C 的转换函数,类似于printf,fprintf,它将编程语言的原始变量转换为可读的字符串表示形式。 格式化字符串是格式化函数的参数,是一串包含文本和格式化参数的ASCII字符串,如…
翻译自Forced browsing 漏洞描述 强制浏览是一种攻击方式,其目的是枚举和访问未被应用程序引用,但仍可访问的资源。攻击者可以使用暴力攻击技术来搜索域目录内未被链接的内容,比如临时目录和文件,旧的备份和构造文件。这些资源可能存储有关Web应用程序和操作系统的敏感信息,例如源代码,证书,内部网络地址等,因此被视为入侵者的宝贵资源。当应用程序的索引目录和页面基于数字生成或可预测的值,或者使用自动化工具生成公用文件和目录名称时,可以手动执行此攻击。此攻击也称为可预测资源位置,文件枚举,目录枚举和资源枚举 攻击示…
最新版本 (mm/dd/yy): 03/6/2018 翻译自Cross-site Scripting (XSS) 概览 跨站点脚本(XSS)是注入攻击的一种,将恶意脚本注入到其他正常可信的网站中。当攻击者使用Web应用程序将恶意代码(通常以浏览器端脚本的形式)发送给不同的最终用户时,就会发生XSS攻击。 引发XSS攻击的漏洞非常普遍,并且发生在Web应用程序使用来自用户的输入内容,而不会对其生成的输出进行验证或编码的任何地方。 攻击者可以利用XSS来向可信的用户发送恶意脚本。最终用户的浏览器并不知晓这个脚本是不可信…