综述
内网与互联网物理隔离,原则上讲黑入内网困难较大。
此篇仅作常见渗透/攻击简述,为科普文,如有错漏,那是一定的,要没错才有鬼了。
DDos攻击
- 比较常见的攻击形式
- 疯狂请求目标服务器,占满目标服务器几乎全部带宽,使得目标服务器没有带宽供正常服务使用,实际达成使服务器无法处理正常服务的结果
- 没啥办法防御,因为都是正常的网络请求,现行的办法基本上都是想方设法使服务器真实承受住请求压力
- 双十一购物节、春运抢票,等事件,对于淘宝服务器/12306服务器来说,与DDos攻击无异。而且来的还都是真实请求
- 常规防御方法:
- 增加服务器请求带宽【如果是租的云服务器那就加钱买带宽】
- 将一部分资源储存在CDN,加快用户请求反馈速度,加速消化流量【可将CDN近似理解为读取速度快带宽又大的后端服务器】
- 在前端和后端之间加一个中间层,由中间层接收请求,对参数的合法性进行判断,滤掉本身不合法的请求,将合法的请求转发给后端【这样实际的请求压力会去到中间层,哪怕攻击者发出的都是合法请求,也能够为后端争取喘息的时机,中间层转发也需要时间的嘛】
- 分布式部署后端服务,并作负载均衡【就是有新的请求来的时候优先分配给压力小的服务器,这样就能尽量保证各服务器压力均衡】
- 在内网的应用应当是不需要考虑被DDos攻击这种事情……用户电脑请求外面的服务器,也有自己的向外请求的带宽,想要压垮服务器的带宽,一般需要远不止一台电脑一起发起请求
SQL注入
- 我们操作数据库,用的是一种叫做sql语句的东西,他有自己独特的语法,我们通过sql语句去和数据库交流
- 如果开发者会把用户输入的内容直接放到操作数据库的sql语句中的话,用户就可以在输入框中输入部分sql语句,来试图请求一些不该请求的内容
XSS 跨站脚本攻击
- 最常见的攻击形式
- 是一类攻击的统称
- 通过网页漏洞将恶意代码注入目标网站,当用户访问目标网站时,浏览器会自行解析并执行恶意代码
- 具体造成的损害要看恶意代码到底是在做什么
- XSS攻击主要是针对网页访问者,而不是网页自身或者网页服务器
- 因为网页漏洞不可避免,所以原则上讲没法完全防止所有的XSS攻击
CSRF 跨站请求伪造攻击
- cookie是浏览器中一个存储请求信息的地方,每个页面可以存储自己的信息进cookie,在前端向后端发起请求时,浏览器会自动将cookie发送到后端
- 在用户登陆了A网站的情况下登录恶意网站B,B网站向A网站发起请求,因为用户已经具有A网站的登陆状态了,所以一般来说请求会成功到达A网站服务器
- 一般攻击目标为将用户身份信息/登陆状态储存在cookie中的网站【几年前的网站很喜欢这么干,现在还有部分网站是这么做的】
SSRF 服务端请求伪造
- 通过A网站访问原本没有访问权限的B网站
- 比如A网站是普通电商网站,B网站是管理员使用的做商品上架下架等等网站配置和管理的内部网站。普通人无法访问B网站所在的服务器,但是因为A网站需要读取B网站设置的配置信息,所以A网站所在服务器可以访问B网站所在服务器
- 假设A网站上有一张图片来自其他服务器【非A自身服务器】,在代码中就会有一句请求目标路径的代码,这个目标路径就是那张图片,这时我们可以将图片的目标路径改为B网站的服务器路径, A网站就会去请求B网站的服务器,这样就实现了成功请求一个原本普通人无法访问的服务器的操作
XXE XML外部实体注入
- xml是一些比较老的网站喜欢使用的请求内容通信格式,就是前端将请求的内容先转换成xml格式,再发送请求,后端接到请求后先将xml转换成自己语言能够理解的数据结构,再进行数据处理
- 用户可以在xml中嵌入恶意代码,从而在服务器的xml解析器解析xml时触发恶意代码
