常见的Web攻击方法有那些? 每日一问
2020-06-06 2620次浏览
- XSS攻击:指的是跨脚本攻击(Cross Site Scripting),为了不与层叠样式表(CSS)混淆,故将跨站脚本攻击缩写为XSS,指的是攻击者在网页中嵌套恶意脚本程序,当用户打开网页时,程序开始在浏览器上启动,XSS攻击可以通过cookie盗取用户的信息和密码;获取用户的联系人列表,然后向联系人发送虚假诈骗信息;可以删除用户的日志,或者自动下载执行木马程序等。
- CSRF攻击:CSRF攻击的全称是跨站请求伪造(cross site request forgery),是一种对网站的恶意利用,你可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义向第三方网站发送恶意请求(对服务器来说这个请求是完全合法的)。CRSF能做的事情包括利用你的身份发邮件、发短信、进行交易转账、购买商品、虚拟货币转账等等,甚至盗取你的账号。
- SQL注入:所谓SQL注入,就是通过把SQL命令伪装成正常的HTTP请求参数,传递到服务端数据处理程序,欺骗处理程序最终执行恶意的SQL命令,达到入侵目的。在开发网站的时候,出于安全考虑,需要过滤从页面传递过来的字符。通常,用户可以通过以下接口调用数据库的内容:URL地址栏、登陆界面、留言板、搜索框等。这往往给骇客留下了可乘之机。如果没有对数据进行安全过滤,轻则数据遭到泄露,重则服务器被拿下。攻击者可以利用SQL注入漏洞,查询非授权信息,,修改数据库服务器的数据,改变表结构,甚至是获取服务器root权限。总而言之,SQL注入漏洞的危害极大,攻击者采用的SQL指令,决定攻击的结果。当前涉及到大批量数据泄露的攻击事件,大部分都是通过利用SQL注入来实施的。
- 文件上传漏洞:文件上传的时候,服务端程序由于没有对于文件的类型进行处理(严格限制上传的文件类型和内容),从而导致攻击者上传了一些恶意的脚本程序,从而达到攻击的目的。
- DDos漏洞:全称分布式拒绝服务攻击(Distributed Denial of Service):就是利用大量合法的分布式服务器对目标发送请求,从而导致正常合法用户无法获得服务。通俗点讲就是利用网络节点资源如:IDC服务器、个人PC、手机、智能设备、打印机、摄像头等对目标发起大量攻击请求,从而导致服务器拥塞而无法对外提供正常服务,最终导致服务器崩溃。
- DNS Query Flood攻击:这种攻击采用的方法是向被攻击的服务器发送海量的域名解析请求,通常情况下,请求解析的域名是随机生成,大部分根本就不存在,并且通过伪造端口和客户端IP,防止查询请求被ACL过滤。被攻击的DNS服务器在接收到域名解析请求后,首先会在服务器上查找是否有对应的缓存,由于域名是随机生成的,几乎不可能有相应的缓存信息,那么当然是没有缓存的,并且该域名无法直接由该DNS服务器进行解析的时候,DNS服务器会向其上层DNS服务器递归查询域名信息,直到全球互联网的13台根DNS服务器。大量不存在的域名解析请求,给服务器带来了很大的负载,当解析请求超过一定量的时候,就会造成DNS服务器解析域名超时,这样攻击者便达成了攻击目的。
- CC攻击:CC攻击其实属于DDoS攻击的一种,这种攻击普遍都是流量不是很高,但是破坏性非常大,直接导致系统服务挂了无法正常服务;CC攻击的原理是这样的,攻击者通过控制的大量“肉鸡”或者利用从互联网上搜寻的大量匿名的HTTP代理,模拟正常用户给网站发起请求直到该网站拒绝服务为止。大部分网站会通过CDN以及分布式缓存来加快服务端响应,提升网站的吞吐量,而这些精心构造的HTTP请求往往有意避开这些缓存,需要进行多次DB查询操作或者是一次请求返回大量的数据,加速消耗系统资源,从而拖垮后端的业务处理系统,甚至连相关存储以及日志收集系统也无法幸免。
- 钓鱼网站:钓鱼攻击是获得用户敏感信息的一种方法。钓鱼攻击的目标通常是在线银行用户、PayPal、eBay等。主要形式表现形式:
- 电子邮件钓鱼:群发邮件,欺骗用户点击恶意的链接或附件,获取有价值的信息。
- 网站钓鱼:在网站上伪造一个网站,通常是模仿合法的某个网站。为了欺骗用户点击这个网站还会采取些辅助技术,比如钓鱼邮件、短信、电话。
- 鱼叉式钓鱼:使用欺骗性的网站,针对于一小群目标受众。
- 鲸钓:目标为高端人群或者高级管理人员的鱼叉式钓鱼。
- 点击劫持:点击劫持是指在一个Web页面中隐藏了一个透明的iframe,用外层假页面诱导用户点击,实际上是在隐藏的frame上触发了点击事件进行一些用户不知情的操作;或者网页上显示的与实际点击获取的内容不同,这种情况往往在好多下载网站更常见:伪装成一个正规软件或者资料的下载按钮,让用户点击,但是点击后实际下载下来的却是恶意的脚本程序或者可执行程序。