WEB漏洞 常见类型

常见的类型有如下：SQL注入、XSS跨站脚本攻击、恶意文件上传、一句话木马链接等。

SQL注入：

漏洞特征：存在SQL注入语句 常见的SQL注入语句有：

●经过报错注入、布尔盲注、时间盲注判断是否存在注入：

⊙字符型

■ 参数后加单引号，报错：sql1.php?name=admin'

■ 参数后加' and '1'='2和' and '1'='2，访问正常：sql1.php?name=admin' and '1'='1 /sql1.php?name=admin' and '1'='2

■ 参数后加' and sleep(3) --，是否延迟3秒打开：sql1.php?name=admin' and/or sleep(3)--

⊙数字型

■ 参数后加单引号，报错:sql2.php?id=1'

■ 参数后加and 1=1和and 1=2，访问正常：sql2.php?id=1 and 1=1/sql2.php?id=1 and 1=2

■ 参数后加and sleep(5)，是否延迟3秒打开：sql2.php?id=1 and sleep(5)

● 经过各类注入语句进行SQL注入攻击：

☉联合查询注入

■ union select

■ order by

☉报错注入(常见报错注入函数)

■ floor()

■ extractvalue()

■ updatexml()

■ geometrycollection()

■ multipoint()

■ polygon()

■ multipolygon()

■ linestring()

■ multilinestring()

■ exp()

⊙常见数据库类型判断

■ ACCESS

and (select count (*) from sysobjects)>0返回异常

and (select count (*) from msysobjects)>0返回异常

■ SQLSERVER

and (select count (*) from sysobjects)>0返回正常

and (select count (*) from msysobjects)>0返回异常

and left(version(),1)=5%23参数5也多是4

■ MYSQL

id=2 and version()>0返回正常

id=2 and length(user())>0返回正常

id=2 CHAR(97, 110, 100, 32, 49, 61, 49)返回正常

■ Oracle

and length (select user from dual)>0返回正常

因为文章长度有限，只列举部分，通常出现有上述内容，则可判断此处可能存在SQL注入。

如图，能够很明显地发现红色框中有很明显的SQL注入语句，如布尔盲注、union select联合注入。

XSS跨站脚本攻击：

漏洞特征：明显的js恶意执行代码 常见的XSS跨站脚本攻击中存在的一些代码：

● 标签

■ <script>

■<body>

■<input>

■<img>

■<a>

■<svg>

■<BGSOUND>

■<LINK>

■<META>

■<TABLE>

■<DIV>

■<IFRAME>

■<FRAMESET>

■<STYLE>

■<OBJECT>

■ ......

● 经常使用触发事件

■ oninput

■ onload

■ oncut

■ onclick

■ onerror

■ onmouseover

■ onfocus

■ onblur

■ poster

■ onscroll

■......

● 经常使用恶意代码

■ prompt

■ confirm

■ alert

■ javascript

■ eval

■ expression

■ window.location

■......

斗哥只给出部分常见的js代码，有兴趣的同窗，自行查阅资料，将其补全，由于比赛是瞬息万变的，偶尔也会出现一些比较偏门的也不必定。

如图，能够很明显地发现红色框中有很明显的js恶意执行代码，如<script>标签、alert语句，可是因为apache日志的特性，若是是经过Post请求，则没法准确判断出是否存在XSS跨站脚本攻击

恶意文件上传：

一般存在于upload、file等出现相似字样的文件，都可能存在恶意文件上传，具体还需结合日志进行判断，通常是判断后续是否有出现Webshell等一些能够的web操做，可经过查看下图，发如今file.php页面的先后日志中，有存在一个带着日期的php页面，极可能就是利用file.php上传的文件，服务器自动生成名字，所以判断此处可能存在恶意文件上传。

通常地，若是Post请求的数据未被显示出来，则须要咱们经过访问的连接以及上下文的访问详情确认此处是否存在恶意文件上传

一句话木马（Webshell）：

通常名字可疑的文件，如带日期字样的页面(.php、.asp、.aspx、.ash、.jsp等)、一串随机值的页面等，而且是经过Post请求，同时会返回必定的数据，此时可判断可能存在一句话木马、webshell等恶意文件，有些日志可能还有post请求参数，可结合参数，更准确地判断出是否存在一句话木马、webshell等恶意文件。

访问频率分析

访问频率分析：不难理解，就是经过查看攻击者访问的频率来判断攻击者使用的是哪种攻击。

常见的类型有有如下：SQL盲注、敏感目录爆破、帐号爆破、Web扫描

SQL盲注：

通常访问比较有规律，基本都包含SQL语句，而且大致都类似，有个别字符不一样，具体状况可参考下图：

不难发现，上图中语句中除了包含SQL语句外，而且最后几个字符不一样，其余都是一致的，所以可推测出此处为SQL盲注

敏感目录爆破：

通常会有大量的探测目录，通常以Head方法为主进行探测，具体状况可参考下图：

发如今上图中，存在大量的HEAD请求方法，而且基本访问的页面返回的状态码为404

帐号爆破：

一般都是对一个登陆页面进行大量post请求，而且返回值基本类似，具体状况可参考下图：

从上图能够很容易看出，明显是个登陆页面，而且访问频率较高，都是经过post方法进行请求，访问值均同样，幸运的是此处出现了一个302状态码，说明攻击者已经爆破到帐号密码了，故可判断此处应该为帐号爆破。

 

参照：https://cloud.tencent.com/developer/article/1424498