容易被攻击的漏洞（怎样利用漏洞进行攻击）

大家好,今天就和小花一起来看看这个问题吧 。怎样利用漏洞进行攻击，容易被攻击的漏洞很多人还不知道，现在让我们一起来看看吧！

常见漏洞

Sanctum进行的几乎所有检查都发现，所有网站都采取了严格的网络级安全措施(如防火墙和加密)，这些网站仍然会使黑客能够入侵客户和公司。

1.饼干中毒——身份伪装

通过处理存储在浏览器cookie中的信息，黑客伪装成合法用户，然后可以访问用户的信息。许多Web应用程序在客户端使用cookie来保存信息(用户身份、时间戳等)。).由于cookie通常是未加密的，黑客可以修改它们，这样他们就可以通过这些“有毒的cookie”来欺骗应用程序。恶意用户可以访问其他人的帐户，并像真实用户一样行事。

2.操纵隐藏场-电子盗窃

黑客可以很容易地改变网页原始代码中的隐藏字段，从而改变商品的价格。这些字段通常用于保存客户端的会话信息，从而减少服务器端复杂的数据库处理工作。因为电子商务应用程序使用隐藏字段来保存商品的价格，所以Sanctum检查员可以看到网站的源代码，找出隐藏字段，然后更改价格。在现实世界中，没有人能发现这些变化，公司要根据变化后的价格发货甚至打折。

3.篡改参数-欺诈

这种技术改变了网站URL的参数。许多web应用程序无法确定超链接中嵌入的CGI参数的正确性。比如允许信用卡使用50万元的大额限额，跳过网站的登录界面，允许访问已取消的订单和客户信息。

4.缓冲区溢出-业务终止

通过使用某种形式的数据流和用过多的信息使服务器超载，黑客通常可以使服务器崩溃并关闭网站。

5.跨站点脚本-拦截信用

在黑客的网站中输入恶意代码，在目标服务器上运行看似无害的错误脚本程序，会让黑客完全访问到获取的文档，服务器甚至可能将页面中的数据传输给黑客。

6.后门和调试选项-入侵

程序员往往会在网站正式运行前，在程序中留下调试选项。有时在匆忙中，他们忘记关闭这些漏洞，以便黑客可以自由访问敏感信息。

7.强制浏览-强制入侵

通过改变程序流程，黑客可以访问正常情况下无法获得的信息和程序的部分内容，如日志文件、管理工具和web应用程序的源代码。

8.秘密指令-秘密武器

黑客经常通过特洛伊木马植入危险指令，并通过运行恶意或未经授权的指令来破坏网站。

9.第三方的错误设置——削弱网站

一旦漏洞在公共网站(如Securityfocus)上公布并修复，黑客就会了解到这些新的安全漏洞。例如，通过设置错误，黑客可以建立一个新的数据库，以避免使用在该网站上不起作用的入侵方法。

10.已知漏洞-控制站点

各种网站使用的一些技术都有一些固有的缺陷，会被一个执着的黑客利用。比如微软的ASP技术，可以用来获取管理员密码，然后控制整个网站。

这篇文章到此就结束，希望能帮助到大家。