学习
实践
活动
专区
工具
TVP
写文章

Web攻击惊鸿一瞥

引言

互联网+的时代,社交网络、微博等等一系列新型的互联网产品的诞生,基于Web环境的互联网应用越来越广泛。企业信息化的过程中各种应用都架设在Web平台上,Web业务的迅速发展也引起黑客们的强烈关注。

黑客定义

对于黑客,Hacker一词,也许大家印象里都是攻击者。其实,最初其指热心于计算机技术、水平高超的电脑专家,尤其是程序设计人员,后逐渐区分为白帽、灰帽、黑帽等,其中黑帽(black hat)实际就是cracker。在媒体报道中,黑客一词常指那些软件骇客(software cracker),而与黑客(黑帽子)相对的则是白帽子

互联网本身是安全的,自从有了研究安全的人,就变得不那么安全了,黑帽攻击,白帽维护。所有的程序本来也没有漏洞,只有功能,但当一些功能用于破坏,造成了损失,也就成了漏洞。

那么今天我们就来看看身边常见的Web攻击有哪些?

XSS跨站脚本攻击

CSRF跨站点请求伪造

攻击者通过在自己的域内构造一个页面后,诱使用户访问了一个页面,就盗取了用户的个人信息,并以该用户身份在第三方站点里请求/执行操作。

案例

典型的例子就是转账。比如我本来在某支付平台网站A上付款,已经登录并通过验证,还未付款所以没有退出,但在浏览的过程中点击访问了危险网站B,B网站修改了我的付款地址之后再给我,然后我再去网站A上付款,付款成功了但是不是支付给原卖家而是到了B网站手里。

CSRF攻击原理

CSRF本质

CSRF为什么能够攻击成功?本质原因是重要操作的所有参数都是可以被攻击者猜测到的。攻击者只有预测出链接的所有参数和参数值,才能成功地构造一个伪造的请求。

SQL 注入攻击

这种属于主动攻击。应用程序在向后台数据库传递SQL(Structured Query Language,结构化查询语言)时,攻击者将SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 在了解SQL注入前,我们先认识下常用的Web的四层架构图组成:

Web与SQL架构

SQL注入过程

案例

这种网络攻击一般直接针对网站,攻击网站获取用户信息,得到用户信息的链表。假设我是攻击者,我在一个有输入用户名窗口的网站(SQL后台)在我原密码的基础上,做了点小修饰,输入到username和password中,使得后台语句发生了变化,从而将某些信息报出,得到用户ID。

SQL注入过程

注入攻击的本质

把用户输入的数据当做代码执行。这里有两个关键条件,第一个是用户能够控制输入;第二个是原本程序要执行的代码,拼接了用户输入的数据。

结语

正如世界有黑白,阴阳两极,有攻击就有防御的一方。互联网技术日新月异,在新技术领域的发展中,也存在着博弈过程,没有绝对的安全,只有更安全。白帽子刚把某一种漏洞全部堵上,黑帽子转眼又玩出新的花样。就像一场军备竞赛,看谁跑在前面。如果新技术不在一开始就考了安全设计的话,防御技术就必然会落后于攻击技术,导致历史重演。

END

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20180809B0PWZO00?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

关注

腾讯云开发者公众号
10元无门槛代金券
洞察腾讯核心技术
剖析业界实践案例
腾讯云开发者公众号二维码

扫码关注腾讯云开发者

领取腾讯云代金券