web安全问题
钓鱼
- 诱惑性标题
- 仿冒真实网址
- 用于骗取用户账户和密码
- 骗取用户资料信息
收到邮件要求重新修改密码
eg: aq.qq.com 页面加载链接如百度短链接 用于链接钓鱼网站
网页串改
黑客攻击服务器后对页面恶意修改,一半用于炫耀技术和政治行为.
如百度搜索 intitle hacked by 可以搜索到被黑的网站。
- 关键字
- hacked by
- 搜索引擎语法
- intitle:keyword 标题中含有关键字的网页
- intext:keyworda 正文中含有关键字的网页
- site:domain 某个域名和子域名下的网页
eg: site:www.abc.com intitle:hacked by 找到所有该站点和子域名下所有被串改的网页.
暗链
拿到网站控制权,然后对网站进行修改,一般在网站下方植入链接。
- 用于在第三方网站挂上利益相关网址链接,一般集中色情/博彩/网游/医疗。
- 一般不能点击,用于爬虫收录。
- 可优化搜索引擎排名 SEO。
eg: 百度 intext:www.abc.com
对于黑客: 风险小,收入高。
WebShell
功能不同一般分大马(功能权限都比较强大)和小马(一句话木马)。
- 是web后门
- 功能强大
- asp/php/jsp
- 一般和正常流量混在一起的后门程序
追根溯源
web 安全-客户端:
- xss 跨站脚本注入
- csrf 跨站请求伪造
- 点击劫持
- url跳转
web 安全-服务端:
- sql注入
- 命令执行
- 文件类操作