常见的 web 攻击类别
常见的 Web 攻击有以下几种:
- XSS 攻击,全称跨站脚本攻击;
- SQL Injection,又称为 SQL 注入攻击;
- CSRF 攻击,全称跨站请求伪造;
- ClickJacking 攻击,全称点击劫持;
- Dos 攻击,全称为拒绝服务攻击;
XSS 攻击
简介
XSS(Cross Site Script),全称是跨站脚本攻击;为了和层叠样式表(CSS)有所区分,因此缩写为 XSS。XSS 是一种 web 安全漏洞。该攻击可以绕过同源策略,让恶意 web 用户将代码植入到提供给其他用户使用的页面中。在 2007 年 OWASP 所统计的安全威胁中,跨站脚本攻击占到了 22%,高居所有 web 威胁之首。
危害
- 该攻击可能盗取用户账号,如用户网银账号,各类管理员账号等;
- 盗取企业商业资料、控制篡改企业敏感数据等;
- 控制受害者机器向其他网站发起攻击等;
事件
2011 年,hellosamy 利用新浪微博存在的 XSS 漏洞,使用新浪提供的短域名服务,当新浪登录用户不小心访问到相关网页时,由于处于登录状态,会运行 js 脚本发微博、加关注、发私信传播危险链接。
SQL Injection 攻击
简介
SQL Injection 叫做 SQL 注入,是发生于应用程序与数据库层的安全漏洞。简而言之,是在输入的字符串之中注入 SQL 指令,在设计不良的程序当中忽略了字符检查,那么这些注入进去的恶意指令就会被数据库服务器误认为是正常的 SQL 指令而运行,因此遭到破坏或是入侵。
危害
- 数据表中的数据外泄,例如企业及个人的机密数据、账户数据、密码等;
- 数据结构被黑客探知,得以做进一步攻击;
- 数据库服务器被攻击,系统管理员账户被篡改;
- 数去系统较高权限后,可能会在网页加入恶意链接、恶意代码等;
- 破坏硬盘数据,瘫痪全系统等。
CSRF 攻击
简介
CSRF(Cross-site request forgery)跨站请求伪造,也被称为 One Click Attack 或者 Session Riding,通常缩写为 CSRF 或者 XSRF,是一种挟制用户在当前登录的 web 执行非本意的操作的攻击方法。通常情况下,攻击者借助受害者的 Cookie 骗取服务器的信任,受害者在不知情的情况下向受攻击的服务器发送请求,从而在未授权的情况下执行权限内的操作。与XSS 攻击相比,CSRF 攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比 XSS 更具危险性。
ClickJacking 攻击
简介
ClickJacking 叫做点击劫持,也叫作界面伪装(UI redressing),是一种在网页中将恶意代码等隐藏在看似无害的内容(如按钮)之下,并诱使用户点击的手段。举例来说,如用户收到一封包含一段视频的电子邮件,但其中的“播放”按钮并不会真正播放视频,而是链入一购物网站。这样当用户试图“播放视频”时,实际是被诱骗而进入了一个购物网站。
DDos 攻击
简介
DDos(denial-of-service attack)拒绝服务攻击,也成为洪水攻击,其目的在于使目标计算机的网络或系统资源耗尽,使服务暂时中断或停止,导致其正常用户无法访问。当黑客使用网络上两个或以上被攻陷的计算机作为“僵尸”向特定的目标发动“拒绝服务”式攻击时,称为分布式拒绝服务攻击(distributed denial-of-service attack,简称 DDoS 攻击)。据 2014 年统计,被确认为大规模 DDoS 的攻击已达平均每小时 28 次。DDoS 发起者一般针对重要服务和知名网站进行攻击,如银行、信用卡支付网关、甚至根域名服务器等。
事件
2018 年 3 月,源代码托管服务 GitHub 遭到迄今为止规模最大的 DDoS 攻击。
参考链接
- 关于Web安全常见的攻防姿势:juejin.im/post/5c9767…
- 维基百科
- 百度百科