37、网络应用安全漏洞与攻击解析

网络应用安全漏洞与攻击解析

1. 网络应用中的代码漏洞

在网络应用里，大多数严重的漏洞并非出现在“内容”层面，而是源于服务器端代码逻辑的缺陷。这些漏洞更难被发现，因为需要以各种方式实际运行应用程序，才能确定后端代码的行为。

2. 客户端攻击

2.1 客户端攻击概述

当访问网页时，主 HTML 文件来自该服务器，但可能引用分散在互联网上的元素。广告、流媒体、图像和其他对象通常通过缓存服务托管，以减少主站点的总带宽消耗。浏览器会在主页面内加载这些元素，即使其来源在外部。这种行为虽然是网络正常运行所必需的，但会使浏览器面临多种客户端攻击。

2.2 客户端攻击形式

• 驱动式 ActiveX 下载 ：网站可能会在用户不知情的情况下，诱导用户下载并运行 ActiveX 控件，从而执行恶意操作。
• 恶意 Java 小程序 ：网站上的恶意 Java 小程序可能会利用浏览器漏洞，获取用户的敏感信息或执行其他恶意行为。

2.3 钓鱼诈骗攻击

客户端攻击常通过钓鱼诈骗实施，即发送极具迷惑性的电子邮件，吸引人们访问模仿知名真实网站的虚假网站，诱使他们在虚假网站上输入私人信息。诈骗者通常会采用各种 URL 混淆技术来隐藏其真实身份。不过，这种攻击的弱点在于，精明的用户可能会注意到可疑的 URL，从而识破骗局。

2.4 跨站框架攻击案例

近期，一家银行的客户遭遇了一种利用银行真实网站漏洞的钓鱼攻击——跨站框架攻击。攻击者无需使用