常見的 web 攻擊

常見的 web 攻擊類別

常見的 Web 攻擊有如下幾種：

1. XSS 攻擊，全稱跨站腳本攻擊；
2. SQL Injection，又稱爲 SQL 注入攻擊；
3. CSRF 攻擊，全稱跨站請求僞造；
4. ClickJacking 攻擊，全稱點擊劫持；
5. Dos 攻擊，全稱爲拒絕服務攻擊；

XSS 攻擊

簡介

XSS（Cross Site Script），全稱是跨站腳本攻擊；爲了和層疊樣式表（CSS）有所區分，所以縮寫爲 XSS。XSS 是一種 web 安全漏洞。該攻擊能夠繞過同源策略，讓惡意 web 用戶將代碼植入到提供給其餘用戶使用的頁面中。在 2007 年 OWASP 所統計的安全威脅中，跨站腳本攻擊佔到了 22%，高居全部 web 威脅之首。

危害

1. 該攻擊可能盜取用戶帳號，如用戶網銀帳號，各種管理員帳號等；
2. 盜取企業商業資料、控制篡改企業敏感數據等；
3. 控制受害者機器向其餘網站發起攻擊等；

事件

2011 年，hellosamy 利用新浪微博存在的 XSS 漏洞，使用新浪提供的短域名服務，當新浪登陸用戶不當心訪問到相關網頁時，因爲處於登陸狀態，會運行 js 腳本發微博、加關注、發私信傳播危險連接。

SQL Injection 攻擊

簡介

SQL Injection 叫作 SQL 注入，是發生於應用程序與數據庫層的安全漏洞。簡而言之，是在輸入的字符串之中注入 SQL 指令，在設計不良的程序當中忽略了字符檢查，那麼這些注入進去的惡意指令就會被數據庫服務器誤認爲是正常的 SQL 指令而運行，所以遭到破壞或是入侵。

危害

1. 數據表中的數據外泄，例如企業及我的的機密數據、帳戶數據、密碼等；
2. 數據結構被黑客探知，得以作進一步攻擊；
3. 數據庫服務器被攻擊，系統管理員帳戶被篡改；
4. 數去系統較高權限後，可能會在網頁加入惡意連接、惡意代碼等；
5. 破壞硬盤數據，癱瘓全系統等。

CSRF 攻擊

簡介

CSRF（Cross-site request forgery）跨站請求僞造，也被稱爲 One Click Attack 或者 Session Riding，一般縮寫爲 CSRF 或者 XSRF，是一種挾制用戶在當前登陸的 web 執行非本意的操做的攻擊方法。一般狀況下，攻擊者藉助受害者的 Cookie 騙取服務器的信任，受害者在不知情的狀況下向受攻擊的服務器發送請求，從而在未受權的狀況下執行權限內的操做。與XSS 攻擊相比，CSRF 攻擊每每不大流行（所以對其進行防範的資源也至關稀少）和難以防範，因此被認爲比 XSS 更具危險性。

ClickJacking 攻擊

簡介

ClickJacking 叫作點擊劫持，也叫做界面假裝（UI redressing），是一種在網頁中將惡意代碼等隱藏在看似無害的內容（如按鈕）之下，並誘使用戶點擊的手段。舉例來講，如用戶收到一封包含一段視頻的電子郵件，但其中的「播放」按鈕並不會真正播放視頻，而是鏈入一購物網站。這樣當用戶試圖「播放視頻」時，實際是被誘騙而進入了一個購物網站。

DDos 攻擊

簡介

DDos（denial-of-service attack）拒絕服務攻擊，也成爲洪水攻擊，其目的在於使目標計算機的網絡或系統資源耗盡，使服務暫時中斷或中止，致使其正經常使用戶沒法訪問。當黑客使用網絡上兩個或以上被攻陷的計算機做爲「殭屍」向特定的目標發動「拒絕服務」式攻擊時，稱爲分佈式拒絕服務攻擊（distributed denial-of-service attack，簡稱 DDoS 攻擊）。據 2014 年統計，被確認爲大規模 DDoS 的攻擊已達平均每小時 28 次。DDoS 發起者通常針對重要服務和知名網站進行攻擊，如銀行、信用卡支付網關、甚至根域名服務器等。

事件

2018 年 3 月，源代碼託管服務 GitHub 遭到迄今爲止規模最大的 DDoS 攻擊。

參考連接

• 關於Web安全常見的攻防姿式：juejin.im/post/5c9767…
• 維基百科
• 百度百科