互聯網環境魚龍混雜,網站被攻擊是常見現象,因此瞭解一些常見的網站攻擊手段十分必要。下面列舉比較常見的 4 種攻擊手段:git
跨站腳本攻擊(Cross-Site Scripting, XSS),是一種網站應用程序的安全漏洞攻擊,是代碼注入的一種。它容許惡意用戶將代碼注入到網頁上,其餘用戶在觀看網頁時就會受到影響。這類攻擊一般包含了 HTML 以及用戶端腳本語言。算法
XSS 攻擊示例:sql
假若有下面一個 textboxshell
<input type="text" name="address1" value="value1from">
value1from 是來自用戶的輸入,若是用戶不是輸入 value1from,而是輸入 "/><script>alert(document.cookie)</script><!-
那麼就會變成:數據庫
<input type="text" name="address1" value=""/><script>alert(document.cookie)</script><!- ">
嵌入的 JavaScript 代碼將會被執行。攻擊的威力,取決於用戶輸入了什麼樣的腳本。瀏覽器
經常使用的 XSS 攻擊手段和目的有:安全
>
轉義爲 >
、<
轉義爲 <
等,就能夠防止大部分攻擊。爲了不對沒必要要的內容錯誤轉移,如 3<5
中的 <
須要進行文本匹配後再轉移,如:<img src=
這樣的上下文中的 <
才轉義。跨站請求僞造(Cross-site request forgery,CSRF),也被稱爲 one-click attack 或者 session riding,一般縮寫爲 CSRF 或者 XSRF。它 是一種挾制用戶在當前已登陸的 Web 應用程序上執行非本意的操做的攻擊方法。和跨站腳本(XSS)相比,XSS 利用的是用戶對指定網站的信任,CSRF 利用的是網站對用戶網頁瀏覽器的信任。服務器
能夠如此理解 CSRF:攻擊者盜用了你的身份,以你的名義發送惡意請求。cookie
CSRF 能作的事太多:網絡
SQL 注入攻擊(SQL injection),是發生於應用程序之數據層的安全漏洞。簡而言之,是在輸入的字符串之中注入 SQL 指令,在設計不良的程序當中忽略了檢查,那麼這些注入進去的指令就會被數據庫服務器誤認爲是正常的 SQL 指令而運行,所以遭到破壞或是入侵。
攻擊示例:
考慮如下簡單的登陸表單:
<form action="/login" method="POST"> <p>Username: <input type="text" name="username" /></p> <p>Password: <input type="password" name="password" /></p> <p><input type="submit" value="登錄" /></p> </form>
咱們的處理裏面的 SQL 多是這樣的:
username:=r.Form.Get("username") password:=r.Form.Get("password") sql:="SELECT * FROM user WHERE username='"+username+"' AND password='"+password+"'"
若是用戶的輸入的用戶名以下,密碼任意
myuser' or 'foo' = 'foo' --
那麼咱們的 SQL 變成了以下所示:
SELECT * FROM user WHERE username='myuser' or 'foo' = 'foo' --'' AND password='xxx'
在 SQL 裏面 --
是註釋標記,因此查詢語句會在此中斷。這就讓攻擊者在不知道任何合法用戶名和密碼的狀況下成功登陸了。
對於 MSSQL 還有更加危險的一種 SQL 注入,就是控制系統,下面這個可怕的例子將演示如何在某些版本的 MSSQL 數據庫上執行系統命令。
sql:="SELECT * FROM products WHERE name LIKE '%"+prod+"%'" Db.Exec(sql)
若是攻擊提交 a%' exec master..xp_cmdshell 'net user test testpass /ADD' --
做爲變量 prod 的值,那麼 sql 將會變成
sql:="SELECT * FROM products WHERE name LIKE '%a%' exec master..xp_cmdshell 'net user test testpass /ADD'--%'"
MSSQL 服務器會執行這條 SQL 語句,包括它後面那個用於向系統添加新用戶的命令。若是這個程序是以 sa 運行而 MSSQLSERVER 服務又有足夠的權限的話,攻擊者就能夠得到一個系統賬號來訪問主機了。
雖然以上的例子是針對某一特定的數據庫系統的,可是這並不表明不能對其它數據庫系統實施相似的攻擊。針對這種安全漏洞,只要使用不一樣方法,各類數據庫都有可能遭殃。
SELECT * FROM sys.tables
)。ALTER LOGIN sa WITH PASSWORD='xxxxxx'
)。Prepare
和 Query
,或者 Exec(query string, args ...interface{})
。拒絕服務攻擊(denial-of-service attack, DoS)亦稱洪水攻擊,是一種網絡攻擊手法,其目的在於使目標電腦的網絡或系統資源耗盡,使服務暫時中斷或中止,致使其正經常使用戶沒法訪問。
當黑客使用網絡上兩個或以上被攻陷的電腦做爲「殭屍」向特定的目標發動「拒絕服務」式攻擊時,稱爲分佈式拒絕服務攻擊(distributed denial-of-service attack,縮寫:DDoS attack、DDoS)。
對於網站來講,用戶信息、帳戶等等敏感數據一旦泄漏,後果嚴重,因此爲了保護數據,應對這些信息進行加密處理。
信息加密技術通常分爲:
經常使用數字簽名算法:MD五、SHA 等。
應用場景:將用戶密碼以消息摘要形式保存到數據庫中。
對稱加密指加密和解密所使用的密鑰是同一個密鑰。
經常使用對稱加密算法:DES 等。
應用場景:Cookie 加密、通訊機密等。
非對稱加密指加密和解密所使用的不是同一個密鑰,而是一個公私鑰對。用公鑰加密的信息必須用私鑰才能解開;反之,用私鑰加密的信息只有用公鑰才能解開。
經常使用非對稱加密算法:RSA 等。
應用場景:HTTPS 傳輸中瀏覽器使用的數字證書實質上是通過權威機構認證的非對稱加密公鑰。
保證密鑰安全的方法:
證書能夠稱爲信息安全加密的終極手段。公開密鑰認證(英語:Public key certificate),又稱公開密鑰證書、公鑰證書、數字證書(digital certificate)、數字認證、身份證書(identity certificate)、電子證書或安全證書,是用於公開密鑰基礎建設的電子文件,用來證實公開密鑰擁有者的身份。此文件包含了公鑰信息、擁有者身份信息(主體)、以及數字證書認證機構(發行者)對這份文件的數字簽名,以保證這個文件的總體內容正確無誤。
透過信任權威數字證書認證機構的根證書、及其使用公開密鑰加密做數字簽名核發的公開密鑰認證,造成信任鏈架構,已在 TLS 實現並在萬維網的 HTTP 以 HTTPS、在電子郵件的 SMTP 以 STARTTLS 引入並普遍應用。
衆所周知,常見的應用層協議 HTTP、FTP、Telnet 自己不保證信息安全。可是加入了 SSL/TLS 加密數據包機制的 HTTPS、FTPS、Telnets 是信息安全的。
傳輸層安全性協議(Transport Layer Security, TLS),及其前身安全套接層(Secure Sockets Layer, SSL)是一種安全協議,目的是爲互聯網通訊,提供安全及數據完整性保障。
SSL/TLS 協議的基本思路是採用公鑰加密法,也就是說,客戶端先向服務器端索要公鑰,而後用公鑰加密信息,服務器收到密文後,用本身的私鑰解密。
這裏有兩個問題:
(1)如何保證公鑰不被篡改?
解決方法:將公鑰放在數字證書中。只要證書是可信的,公鑰就是可信的。
(2)公鑰加密計算量太大,如何減小耗用的時間?
解決方法:每一次對話(session),客戶端和服務器端都生成一個"對話密鑰"(session key),用它來加密信息。因爲"對話密鑰"是對稱加密,因此運算速度很是快,而服務器公鑰只用於加密"對話密鑰"自己,這樣就減小了加密運算的消耗時間。
SSL/TLS 協議的基本過程是這樣的: