这种攻击(跨站点请求伪造)的本质是用户的搜索引擎将其 HTTP 请求发送到受到薄弱保护的应用程序,以抵御可能的黑客攻击。这样的请求可能包含任何自动添加的信息、文件、cookies 等。
事实证明,黑客好像代表用户的浏览器生成请求,而应用程序并没有将它们视为假的。例如,某人只是点击了一个链接,结果,他的帐户甚至可能被删除,或者该用户的朋友可能会自动开始收到一些广告信息。
安装有脆弱点的部件
这是指以与应用程序类似的方式工作 加拿大号码数据 的网络资源组件。例如,框架、库等等。该漏洞可能隐藏在其中一个模块中,如果遭到黑客攻击,欺诈者将能够访问您的数据,甚至干扰服务器管理。因此,使用此类组件会对应用程序和 API 的安全性构成威胁,为各种入侵和捕获用户数据打开大门。
未经特殊保护的API
如今,几乎所有的Web应用程序都有通过JavaScript进行操作的专门的客户端程序和API。可以通过搜索引擎或移动通信访问它们。有很多可用于它们的协议 - REST/JSON、SOAP/XML、GWT、RPC 等等。因此,弱点可能在于 API 本身,这使得系统容易受到攻击。
因此,问题的性质可能完全不同,从网站的 CSRF、SQL、XSS 漏洞到服务器设置中的弱点。
如何查找网站上的漏洞
检查站点的漏洞分为几个阶段进行。您不能只按下一个按钮就一下子快速识别出所有弱点 - 获得尽可能详细的信息非常重要。该过程包括以下步骤:
数据收集(侦察)。您需要尽可能多地了解您正在使用的网络或服务器的信息。
分析和扫描(考虑到收到的情报)在您的网络资源上检测到的漏洞。
试运行。测试人员并不总是执行这一步骤,只有在需要证明危险时才会执行。
更正。在这里,我们采取措施消除在网络平台上发现的弱点。
在每个列出的阶段,都需要使用一组特定的工具执行一系列操作。经验表明,单独使用这些测试程序不如将它们组合成现成的测试潜在威胁的环境那么有效。这是指通过 KaliLinux(来自 Linux)检查网站是否存在漏洞。这非常方便:您只需从闪存驱动器中获取保存在那里的系统并开始将其安装在设备的硬盘驱动器上。
情报收集
在搜索网站漏洞的初始阶段,您的目标是找出外部人员可能获取的有关您的哪些信息。有专门用于此目的的工具,特别是 nmap。它显示有关服务器上运行的服务(及其版本)、使用的端口以及操作系统本身的版本的信息。
信息收集
来源:地面图片/shutterstock.com
例如,要查看设备上的工作端口,您需要在 KaliLinux 中运行以下命令:
nmap -sS 192.168.91.249
数字序列就是您的资源的IP。结果,您将看到哪些端口是打开的以及系统正在使用哪些服务。但这些信息已经足以得出某些结论。例如,如果一台计算机有 SSH、Web、代理服务器(在端口 3128 上)以及 Samba(文件共享工具),那么很明显它们很可能存在漏洞。
对于更深入的侦察,Nmap 的选项 A 是一个很好的选择。该命令如下所示: