Web应用程序的威胁与对策(3)

威胁。可能危害资产的潜在发生（恶意或非恶意） 漏洞。使威胁成为可能的弱点 攻击（或利用）。所执行的危害资产的操作 对策。用以解除威胁并减轻危险的安全措施

返回页首

对攻击的剖析

通过了解攻击者攻击您的 Web 应用程序所采用的基本方法，您可以确定您面对的对象，从而采取更有效的防御措施。攻击者方法的基本步骤总结如下，并进行了图解，见图 2.1：

调查和评估 利用和渗透 提升特权 保留访问权 拒绝服务

图 2.1

攻击方法的基本步骤

调查和评估

先后对潜在目标进行调查和评估。攻击者通常采取的第一步是调查潜在目标，以识别和评估其特征。这些特征可能包括它所支持的服务和协议，以及潜在漏洞和入口点。攻击者使用在调查和评估阶段所收集的信息来规划最初的攻击。

例如，攻击者可以通过测试检测跨站点脚本 (XSS) 的漏洞，以查看网页中的控件是否会返回输出。

利用和渗透

对潜在目标进行调查后，下一步是利用和渗透。如果网络和主机是完全安全的，则您的应用程序（前门）将成为攻击的下一渠道。