|
引言 互联网+的时代,社交网络、微博等等一系列新型的互联网产品的诞生,基于Web环境的互联网应用越来越广泛。企业信息化的过程中各种应用都架设在Web平台上,Web业务的迅速发展也引起黑客们的强烈关注。 黑客定义 对于黑客,Hacker一词,也许大家印象里都是攻击者。其实,最初其指热心于计算机技术、水平高超的电脑专家,尤其是程序设计人员,后逐渐区分为白帽、灰帽、黑帽等,其中黑帽(black hat)实际就是cracker。在媒体报道中,黑客一词常指那些软件骇客(software cracker),而与黑客(黑帽子)相对的则是白帽子。 互联网本身是安全的,自从有了研究安全的人,就变得不那么安全了,黑帽攻击,白帽维护。所有的程序本来也没有漏洞,只有功能,但当一些功能用于破坏,造成了损失,也就成了漏洞。 那么今天我们就来看看身边常见的Web攻击有哪些? 一 XSS跨站脚本攻击 二 CSRF跨站点请求伪造 攻击者通过在自己的域内构造一个页面后,诱使用户访问了一个页面,就盗取了用户的个人信息,并以该用户身份在第三方站点里请求/执行操作。 案例 典型的例子就是转账。比如我本来在某支付平台网站A上付款,已经登录并通过验证,还未付款所以没有退出,但在浏览的过程中点击访问了危险网站B,B网站修改了我的付款地址之后再给我,然后我再去网站A上付款,付款成功了但是不是支付给原卖家而是到了B网站手里。  CSRF攻击原理 CSRF本质 CSRF为什么能够攻击成功?本质原因是重要操作的所有参数都是可以被攻击者猜测到的。攻击者只有预测出链接的所有参数和参数值,才能成功地构造一个伪造的请求。 三 SQL 注入攻击 这种属于主动攻击。应用程序在向后台数据库传递SQL(Structured Query Language,结构化查询语言)时,攻击者将SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 在了解SQL注入前,我们先认识下常用的Web的四层架构图组成:  Web与SQL架构  SQL注入过程 案例 这种网络攻击一般直接针对网站,攻击网站获取用户信息,得到用户信息的链表。假设我是攻击者,我在一个有输入用户名窗口的网站(SQL后台)在我原密码的基础上,做了点小修饰,输入到username和password中,使得后台语句发生了变化,从而将某些信息报出,得到用户ID。 SQL注入过程 注入攻击的本质 把用户输入的数据当做代码执行。这里有两个关键条件,第一个是用户能够控制输入;第二个是原本程序要执行的代码,拼接了用户输入的数据。 结语 正如世界有黑白,阴阳两极,有攻击就有防御的一方。互联网技术日新月异,在新技术领域的发展中,也存在着博弈过程,没有绝对的安全,只有更安全。白帽子刚把某一种漏洞全部堵上,黑帽子转眼又玩出新的花样。就像一场军备竞赛,看谁跑在前面。如果新技术不在一开始就考了安全设计的话,防御技术就必然会落后于攻击技术,导致历史重演。 END |
|
|
来自: AnonymousV脸 > 《手机电脑类知识的文章》
