目录
攻击手段&防御策略
阻断服务攻击(DoS)
地址解析欺骗(ARP攻击)(Address Resolution Protocol spoofing)
跨站脚本攻击(XSS)
SQL注入
跨站请求伪造(csrf)
HTTPS中间人攻击
小结
攻击手段&防御策略
阻断服务攻击(DoS)
阻断服务攻击(Denial-of service attack),想办法将目标网络资源用尽(自己的服务发出流量消耗你的资源,容易被抓到)变种:分布式阻断服务攻击DDOS(Distributed Denial-of service)(肉鸡:被病毒控制的计算机,控制大量远程的肉鸡耗你的资源,给你发HTTP封包,找你的服务器TCP/IP握手、给你发HTTP请求;所有的队列都被阻塞,正常用户无法访问)带宽消耗型(消耗目标的带宽)资源消耗型(消耗目标的计算资源)购买防火墙(ip加黑名单)交换机(路由器)(高端产品也有防火墙功能)流量清洗DDOS通常是临时增加带宽,保证用户使用
地址解析欺骗(ARP攻击)(Address Resolution Protocol spoofing)
局域网调试手段
局域网中有很多主机、路由器、网线连接为一个局域网,主机在内网里有自己的ip,ip相当于门牌号,mac相当于身份证。
一个主机会定期发ARP Request
路由器/网关会收到请求,会把其他的主机的IP和MAC返给对方
这个时候就给了攻击者有机可乘,
它可以用自己的mac+其他人的IP,在它们通信中间做篡改,截取数据
目前商业级别的机房都有防御手段,防住了。
所以目前都是做分包监听手段,作为一种调试方法。
跨站脚本攻击(XSS)
原理:将跨站脚本(Cross Site Scripting)注入到被攻击的网页上,用户打开网页会执行跨站脚本。(被别人挂码了)
服务端可以转义单引号和尖括号
网页展示时候也做转义
JQ编码时若没有转义,可能就会被这种攻击
SQL注入
提醒后端做 输入过滤,转义
跨站请求伪造(csrf)
转账/transfer?money=10000&to=123456
点击下载有趣内容
// 防范手段<form method="post"><input type="hidden" name="csrf" value="123adfaef234af" /></form>