网站建设、公众号开发、微网站、微商城、小程序就找牛创网络 !

7*24小时服务专线: 152-150-65-006 023-68263070 扫描二维码加我微信 在线QQ

DDOS防护团结互助,让我们共同进步!

当前位置:主页 > 服务项目 > 网络安全托管 > DDOS防护 >

我们的优势: 10年相关行业经验,专业设计师量身定制 设计师一对一服务模式,上百家客户案例! 企业保证,正规流程,正规合作 7*24小时在线服务,售后无忧

三种攻击类型:点击劫持(ClickJacking)、会话固定(Session Fixation)和文件包含(File Inclusion)的成因分析

文章来源:重庆网络安全 发布时间:2020-01-20 15:05:24 围观次数:
分享到:

摘要:点击劫持(ClickJacking)、会话固定(Session Fixation)和文件包含(File Inclusion)三种攻击类型的成因分析。

点击劫持(ClickJacking)是一种视觉欺骗的攻击方法。 在网络端,iframe嵌套了一个透明且不可见的页面,允许用户单击又被欺骗的位置,它通常使用ifream覆盖当前页面,从而欺骗 用户点击iframe中的恶意内容。实现以下攻击:


  通过Flash打开受害者的相机或麦克风;


  诱使受害者在不知情的情况下成为某人的粉丝;


  控制受害者为宣传目的间接传播和共享广告链接;


  诱使用户单击恶意链接。


会话固定(Session Fixation)是使用服务器的会话信息固定机制来获得身份验证和授权,然后假冒他人。 会话固定攻击的简要过程如下:


  1. Bob首先打开一个网站http://abc.com/,然后服务器将使用会话ID(例如SID = ssswioq)进行答复,然后Bob写下该ID;


  2. Bob发送电子邮件给Alice,Alice单击链接:http://abc.com/?SID=ssswioq,后跟Bob自己的会话ID;


  3.当Alice单击http://abc.com/?SID=ssswioq时,她照常输入她的帐户和密码以登录到abc.com网站。


  4.因为服务器的会话ID是固定的,所以当Bob单击http://abc.com/?SID=ssswioq时,他进入Alice的帐户,并以Alice的身份进行他想做的任何事情。

文件包含(File Inclusion)意味着当服务器启用allow_url_include选项时,您可以使用url通过PHP的某些功能功能(include(),require()和include_once(),require_once())动态地包含文件。 文件没有经过检查,将导致在服务器上执行任意文件读取或任意命令执行。 文件包含攻击/漏洞分为本地文件包含(LFI)和远程文件包含(RFI)。远程文件包含漏洞是因为php配置中的allow_url_fopen选项已打开。 启用该选项后,服务器允许将远程文件包含在其中。间接让服务器请求文件。


本文由 重庆网络安全 整理发布,转载请保留出处,内容部分来自于互联网,如有侵权请联系我们删除。

相关热词搜索:攻击类型 点击劫持(ClickJacking) 会话固定(Session Fixation) 文件包含(File Inclusion)

上一篇:第一页
下一篇:最后一页

热门资讯

鼠标向下滚动