網(wǎng)站漏洞的危害

SQL注入漏洞
SQL注入漏洞的危害不僅體現(xiàn)在數(shù)據(jù)庫層面，還有可能危及承載數(shù)據(jù)庫的操作系統(tǒng)；如果SQL注入被用來掛馬，還可能用來傳播惡意軟件等，這些危害包括但不限于：
數(shù)據(jù)庫信息泄漏：數(shù)據(jù)庫中存儲的用戶隱私信息泄露。
網(wǎng)頁篡改：通過操作數(shù)據(jù)庫對特定網(wǎng)頁進行篡改。
網(wǎng)站被掛馬，傳播惡意軟件：修改數(shù)據(jù)庫一些字段的值，嵌入網(wǎng)馬鏈接，進行掛馬攻擊。
數(shù)據(jù)庫被惡意操作：數(shù)據(jù)庫服務(wù)器被攻擊，數(shù)據(jù)庫的系統(tǒng)管理員帳戶被竄改。
服務(wù)器被遠程控制，被安裝后門：經(jīng)由數(shù)據(jù)庫服務(wù)器提供的操作系統(tǒng)支持，讓黑客得以修改或控制操作系統(tǒng)。
破壞硬盤數(shù)據(jù)，癱瘓全系統(tǒng)。
XSS跨站腳本漏洞
XSS跨站腳本漏洞的危害包括但不限于：
釣魚欺騙：最典型的就是利用目標(biāo)網(wǎng)站的反射型跨站腳本漏洞將目標(biāo)網(wǎng)站重定向到釣魚網(wǎng)站，或者注入釣魚JavaScript以監(jiān)控目標(biāo)網(wǎng)站的表單輸入，甚至發(fā)起基于DHTML更高級的釣魚攻擊方式。
網(wǎng)站掛馬：跨站后利用IFrame嵌入隱藏的惡意網(wǎng)站或者將被攻擊者定向到惡意網(wǎng)站上，或者彈出惡意網(wǎng)站窗口等方式都可以進行掛馬攻擊。
身份盜用：Cookie是用戶對于特定網(wǎng)站的身份驗證標(biāo)志，XSS可以盜取用戶的Cookie，從而利用該Cookie獲取用戶對該網(wǎng)站的操作權(quán)限。如果一個網(wǎng)站管理員用戶Cookie被竊取，將會對網(wǎng)站引發(fā)巨大的危害。
盜取網(wǎng)站用戶信息：當(dāng)能夠竊取到用戶Cookie從而獲取到用戶身份時，攻擊者可以獲取到用戶對網(wǎng)站的操作權(quán)限，從而查看用戶隱私信息。
垃圾信息發(fā)送：比如在SNS社區(qū)中，利用XSS漏洞借用被攻擊者的身份發(fā)送大量的垃圾信息給特定的目標(biāo)群體。
劫持用戶Web行為：一些高級的XSS攻擊甚至可以劫持用戶的Web行為，監(jiān)視用戶的瀏覽歷史，發(fā)送與接收的數(shù)據(jù)等等。
XSS蠕蟲：XSS 蠕蟲可以用來打廣告、刷流量、掛馬、惡作劇、破壞網(wǎng)上數(shù)據(jù)、實施DDoS攻擊等。
信息泄露漏洞
CGI漏洞
CGI漏洞大多分為以下幾種類型：信息泄露、命令執(zhí)行和溢出，因此危害的嚴(yán)重程度不一。信息泄露會暴露服務(wù)器的敏感信息，使攻擊者能夠通過泄露的信息進行進一步入侵；命令執(zhí)行會對服務(wù)器的安全造成直接的影響，如執(zhí)行任意系統(tǒng)命令；溢出往往能夠讓攻擊者直接控制目標(biāo)服務(wù)器，危害重大。
內(nèi)容泄露漏洞
內(nèi)容泄露漏洞，會被攻擊者利用導(dǎo)致其它類型的攻擊，危害包括但不局限于：
內(nèi)網(wǎng)ip泄露：可能會使攻擊者滲透進入內(nèi)網(wǎng)產(chǎn)生更大危害。
數(shù)據(jù)庫信息泄露：讓攻擊者知道數(shù)據(jù)庫類型，會降低攻擊難度。
網(wǎng)站調(diào)試信息泄露：可能讓攻擊者知道網(wǎng)站使用的編程語言，使用的框架等，降低攻擊難度。
網(wǎng)站目錄結(jié)構(gòu)泄露：攻擊者容易發(fā)現(xiàn)敏感文件。
絕對路徑泄露：某些攻擊手段依賴網(wǎng)站的絕對路徑，比如用SQL注入寫webshell。
電子郵件泄露：郵件泄露可能會被垃圾郵件騷擾，還可能被攻擊者利用社會工程學(xué)手段獲取更多信息，擴大危害。
文件泄露漏洞
敏感文件的泄露可能會導(dǎo)致重要信息的泄露，進而擴大安全威脅，這些危害包括但不局限于：
帳號密碼泄漏：可能導(dǎo)致攻擊者直接操作網(wǎng)站后臺或數(shù)據(jù)庫，進行一些可能有危害的操作。
源碼泄露：可能會讓攻擊者從源碼中分析出更多其它的漏洞，如SQL注入，文件上傳，代碼執(zhí)行等。
系統(tǒng)用戶泄露：可能會方便暴力破解系統(tǒng)密碼。

轉(zhuǎn)載請保留原文地址: http://www.448gfe.cn/show-246.html