本文介绍了 XSS,CSRF,SQL Injection 和 DDOS 攻击的基本原理,由于基本是参考链接摘录,读者可酌情阅读。
Cross Site Scripting (XSS)
跨站脚本攻击,为了区分 Cascading Style Sheets (CSS),把 Cross 缩写为 X。易受此类攻击的站点被用来执行 恶意 JS 代码
。防御方法是加强输入 校验
,将提交内容 编码
后保存,不随意将外部内容直接渲染到页面。
Example
下面这段 JSP 代码将请求参数中的 eid
直接渲染到 HTML。攻击者可以构造 eid
为 JS
的链接,通过邮件等形式诱导受害者点击,从而让浏览器执行恶意代码。这种形式的攻击称为 Reflected XSS
。
<% String eid = request.getParameter("eid"); %>
...
Employee ID: <%= eid %>
下面这段 JSP 代码从数据库取 用户名
渲染到 HTML。如果不加校验,攻击者可以将自己的用户名设为 JS
片段,诱导受害者访问他的主页触发恶意代码执行。这种形式的攻击称为 Stored XSS
。
<%...
Statement stmt = conn.createStatement();
ResultSet rs = stmt.executeQuery("select * from emp where id="+eid);
if (rs != null) {
rs.next();
String name = rs.getString("name");
%>
Employee Name: <%= name %>
下面这段 HTML 代码从 URL 中解析语言参数渲染到 DOM。
…
Select your language:
<select><script>
document.write("<OPTION value=1>"+decodeURIComponent(document.location.href.substring(document.location.href.indexOf("default=")+8))+"</OPTION>");
document.write("<OPTION value=2>English</OPTION>");
</script></select>
…
攻击者可以构造下面这样的链接诱导受害者点击,从而执行恶意 JS 代码。由于这种攻击不与服务器交互,因此称为 DOM Based XSS
。
<!-- 正常链接 -->
http://www.some.site/page.html?default=French
<!-- 恶意链接 -->
http://www.some.site/page.html?default=<script>alert(document.cookie)</script>
Cross Site Request Forgery (CSRF)
跨站请求伪造,利用用户未登出的 Session
执行非法操作。防御方法是为每个请求生成唯一 Token
,校验通过再执行操作。
Example
假如以下请求是某银行的转账接口。攻击者可以构造恶意链接更改目标账户和金额,利用钓鱼邮件等形式诱导用户点击,从而实现非法目的。
GET http://bank.com/transfer.do?acct=BOB&amount=100 HTTP/1.1
即使是非 GET 方法,也可以在钓鱼页面通过 JS 发送。
PUT http://bank.com/transfer.do HTTP/1.1
{ "acct":"BOB", "amount":100 }
<!-- 现代浏览器已经不允许未经服务器允许的 CORS 请求 -->
<script>
function put() {
var x = new XMLHttpRequest();
x.open("PUT","http://bank.com/transfer.do",true);
x.setRequestHeader("Content-Type", "application/json");
x.send(JSON.stringify({"acct":"BOB", "amount":100}));
}
</script>
<body onload="put()">
Structured Query Language Injection (SQL Injection)
SQL 注入攻击。利用服务端对 SQL 参数的 弱校验
,盗取或破坏 数据库
信息。防御方法是加强入参校验。
Example
以下服务端代码如果不对请求参数作校验而直接构造 SQL 执行,则攻击者可以任意拼接执行恶意操作。
String query = "SELECT \* FROM accounts WHERE custID='" + request.getParameter("id") + "'";
例如,攻击者可发送如下请求获取系统所有账户。
http://example.com/app/accountView?id=' or '1'='1
Distributed Denial of Service (DDOS)
分布式拒绝服务。利用庞大僵尸网络对网站发起大量恶意请求,致使服务端资源耗竭,无法为正常用户提供服务。防御关键是 恶意流量
的检测和清洗。
References
- Cross Site Scripting (XSS)
- DOM Based XSS
- Cross Site Request Forgery (CSRF)
- SQL Injection
- Denial of Service
- What is a DDOS Attack
如有问题请在下方留言,文章转载请注明出处,详细交流请加下方群组!请大佬不要屏蔽文中广告,因为它将帮我分担服务器开支,如果能帮忙点击我将万分感谢。
路过随便看看,ddos还有其他具体的没
学到了::quyin:OK::
#(赞一个)