关于网络安全的几种攻击

一寸欢喜
335 阅读6分钟

安全靠大家,幸福千万家,了解安全知识,避免QQ被盗 ~.~
今天给大家介绍几种网络安全方面的知识,白话文加举例,通俗易懂~.~
不要说你看不懂,我就是想让你了解一下,嘿嘿~ 不啰嗦了,开搞!

1.SQL注入 2. XSS攻击 3. CSRF攻击 -关注对象:前端工程师、web后端工程师

1.SQL注入

Web安全三板斧之首,SQL注入攻击的核心在于让Web服务器执行攻击者期望的SQL语句,以便得到数据库中的感兴趣的数据或对数据库进行读取、修改、删除、插入等操作,达到其邪恶的目的。

对于一个根据用户ID获取用户信息的接口,后端的SQL语句一般是这样:

``` selectname,[...]fromt_userwhereid=$id ```

其中,$id就是前端提交的用户id,而如果前端的请求是这样:

``` GET xx/userinfo?id=1%20or%201=1 ```

其中请求参数id转义后就是1 or 1=1,如果后端不做安全过滤直接提交数据库查询,SQL语句就变成了:

``` selectname[...]fromt_userwhereid=1or1=1 ```

2.XSS攻击

Web安全三板斧之二,全称跨站脚本攻击(Cross Site Scripting),攻击者想让你的浏览器执行他写的JS代码。
第一种是反射型:1.攻击者将JS代码作为请求参数放置URL中,诱导用户点击

``` http://localhost:8080/test?name= ```
2.用户点击后,该JS作为请求参数传给Web服务器后端;

3.后端服务器没有检查过滤,简单处理后放入网页正文中返回给浏览器;

4.浏览器解析返回的网页,中招!

第二种是:存储:将攻击脚本入库存储,在后面进行查询时,再将攻击脚本渲染进网页,返回给浏览器触发执行。举例如下: 1.攻击者网页回帖,帖子中包含JS脚本 ;
2.回帖提交服务器后,存储至数据库;
3.其他网友查看帖子,后台查询该帖子的回帖内容,构建完整网页,返回浏览器 ;
4.该网友浏览器渲染返回的网页,中招!

3.CSRF攻击

Web安全三板斧之三,大致理解为:在打开A网站的情况下,另开Tab页面打开恶意网站B,此时在B页面的“唆使”下,浏览器发起一个对网站A的HTTP请求。

这个过程的危害在于2点:

1、这个HTTP请求不是用户主动意图,而是B“唆使的”,如果是一个危害较大的请求操作(发邮件?删数据?等等)那就麻烦了

2、因为之前A网站已经打开了,浏览器存有A下发的Cookie或其他用于身份认证的信息,这一次被“唆使”的请求,将会自动带上这些信息,A网站后端分不清楚这是否是用户真实的意愿。

下面几种攻击关注对象不是前端的,哼!就粗略介绍一下,点到为止不去细细深究了~..~

DDoS攻击

一台性能强劲的计算机,写个程序多线程不断向服务器进行请求,服务器应接不暇,最终无法处理正常的请求,对别的正常用户来说,看上去网站貌似无法访问,拒绝服务就是这么个意思。

DNS劫持

DNS提供服务用来将域名转换成IP地址,对于查询方来说:

1.我去请求的真的是一个DNS服务器吗?是不是别人冒充的?

2.查询的结果有没有被人篡改过?   

3.这个IP真是这个网站的吗?
DNS协议中没有机制去保证能回答这些问题,因此DNS劫持现象非常泛滥,从用户在地址栏输入一个域名的那一刻起,一路上的凶险防不胜防:

  • 本地计算机中的木马修改hosts文件

  • 本地计算机中的木马修改DNS数据包中的应答

  • 网络中的节点(如路由器)修改DNS数据包中的应答

  • 网络中的节点(如运营商)修改DNS数据包中的应答

  • ......

后来,以阿里、腾讯等头部互联网厂商开始推出了httpDNS服务,来了一招釜底抽薪,虽然这项技术的名字中还有DNS三个字母,但实现上和原来但DNS已经是天差地别,通过这项技术让DNS变成了在http协议之上的一个应用服务。

TCP劫持

TCP是TCP/IP协议族中非常重要的成员,位于传输层。协议本身并没有对TCP传输的数据包进行身份验证,所以我们只要知道一个TCP连接中的seq和ack后就可以很容易的伪造传输包,假装任意一方与另一方进行通信,我们将这一过程称为TCP会话劫持(TCP Session Hijacking)。
TCP劫持技术是一种很老的技术,1995年被提出来后深受黑客青睐。不过近些年来,随着操作系统层面的安全机制增强和防火墙软件的检测能力提升,这种基础的攻击方式越来越容易被发现,慢慢的淡出了人们的视野。

小结

从"hello world"到"build world"是一个广阔的漫长的路程,人类的发展历史已经有几千年历史了,而计算机的发展还不足百年。互联网的安全大门不止网络安全这一方面,还有系统安全,密码学等等.... 学海无涯苦作舟,我们了解知识,所以不再惧怕。

本人介绍

我是一名菜到脸发红,老到人掉渣的前端选手,平常手太懒了,只习惯收集知识,不善于输出知识。尴尬~
今天算是第一次用morkdown认真地编辑了一篇文章吧,收获蛮多的:字体颜色,背景,表情等等... :smile
有些事吧,羞于启齿,可是我脸皮老厚了-*-,就在这里献丑了,下面是我的个人博客,公众号,简书,小程序~
请大家不要关注!!!不要关注!!!不要关注!!!因为都是半成品和原材料,可能会闪瞎大侠的眼~
我勇敢地列出来,算是对自己的一种激励和讽刺吧,看看几个月后,一年后,我再扫这个码,这个网站,会还是那个自己吗?
个人博客:我的博客
个人公众号:


个人简书: 简书 个人小程序:

个人码云项目:码云

avatar
文章
阅读
粉丝