Tải bản đầy đủ (.ppt) (108 trang)
  1. Trang chủ
    2. >>
  2. Công nghệ thông tin
    3. >>
  3. Web

Dos web server

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (4.95 MB, 108 trang )

GVHD:TS Phạm văn Tính


I.Khái niệm web server
II. Các lỗi thường gặp trên Web server
III. Giới thiệu công cụ



Web vulnerability scanner
Metasploit

IV.Chi tiết một số lỗi





XSS (Cross-Site Scripting)
SSLStrip
Directory Traversal Attack
IIS(Internet Information Service)

V.DEMO


Web Server (máy phục vụ Web): máy tính
mà trên đó cài đặt phần mềm phục vụ
Web, đôi khi người ta cũng gọi chính phần
mềm đó là Web Server.
 Dos Webserver :khai thác các lỗi trên


web server





Tất cả các Web Server đều hiểu và chạy
được các file *.htm và *.html,tuy nhiên một
số Web server lại phục vụ cho một số file
riêng biệt
IIS của Microsoft:ASP,ASPX..
Apache :PHP
Sun Java System Web Server của
SUN:dành cho JSP


1.
2.
3.
4.
5.
6.
7.
8.
9.
10.

XSS (Cross-Site
Scripting)
SSLStrip

Directory Traversal
Attack
Web Server
Technologies
CGI Tester
Code execution
Cookie manipulation
CRLF injection
XFS vulnerability
Email Injection

11.
12.
13.
14.
15.

File inclusion
File tampering
Full path disclosure
Remote XSL inclusion
Script source code
disclosure
16. SQL injection
17. URL redirection
18. XPath Injection
vulnerability
19. Blind SQL/XPath injection
………




Acunetix WVS (Web Vulnerability
Scanner) là công cụ dừng để kiểm tra
mức độ bảo mật của các website ,nó sẽ tự
động kiểm tra các ứng dụng Web để tìm
kiếm các lỗ hổng bảo mật như SQL
Injection, hay Cross-Site Scripting…
 Nó có thể quét bất cứ trang web nào truy
xuất bằng trình duyệt web thông qua giao
thức Http và Https.



Sau quá trình thu thập thông tin WVS sẽ
phân tích từng trang nơi có dữ liệu đầu
vào từ đó sẽ đưa ra các cách khai thác
khác nhau trên mỗi trang tìm được.
 Sau khi quét xong thì dữ liệu sẽ được lưu
xuống database và có thể xuất ra báo cáo
trong suốt quá trình quét.














High : nguy hiểm nhất có nguy cơ tối đa
trong việc hacker và trộm cắp dữ liệu.
 Medium : được gây ra bởi máy chủ dựa vào
sai sót trong việc cấu hình tạo điều kiện cho
việc phá vỡ thâm nhập vào máy chủ và thư
mục.
 Low : thường tạo ra do dữ liệu không được
mã hóa khi gửi đi -> tiết lộ đường dẫn thư
mục
 Information : tiết lộ các thông tin thông qua
chuỗi tìm kiếm.



Site Crawler
 Target Finder
 Subdomain Scanner
 Blind SQL Injection
 HTTP Editor
 HTTP Sniffer
 HTTP Fuzzer
 Authentication Tester









Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×