本文主要介绍常见的网络攻击手段及其防护。

XSS

XSS(Cross-Site Scripting) 是跨站脚本攻击的简称。
主要通过在网页动态内容注入恶意脚本,使得脚本在受害者的浏览器运行,最终达到某种目的。
有些可能只是恶作剧开个玩笑,比如说下面的代码:

1
2
3
4
while (true)
{
    alert('你关不掉我!');
}

用户受到的影响也就是一直弹窗,大不了强制关掉浏览器就可以了。
不过如果是黑客的话,那么很可能就是窃取你的隐秘信息用作他途了。

主要的防护手段是加强对用户输入合法性的检查或者做好转义处理。

CSRF

CSRF(Cross-Site Request Forgery) 是跨站请求伪造的简称。
主要是诱使受害者发出非本意的操作请求。
比如说发私信给受害者,诱导他/她点击链接,触发一些恶意请求,比如说转移虚拟币、修改账户密码等。

主要的防护手段是在请求附带上不容易伪造的信息,比如说随机的token(登录的时候下发)。

SQL注入

SQL注入攻击主要通过构造一些特殊的SQL语句,通过输入传到后台被执行后实施的攻击。
这种攻击有可能得到管理员的权限,也有可能删除或者获取用户某些重要数据。

主要的防护手段还是加强对用户输入合法性的检查或者做好转义处理。

DoS && DDoS

DoS(Denial of Service)是拒绝服务攻击的简称。
DoS一般通过协议的设计缺陷或者系统软件的bug触发服务器不能正常提供服务。

DDoS(Distributed Denial Service)是分布式的DoS,是操作大量僵尸主机(肉机)进行大规模的攻击。
DDoS一般是消耗服务器的资源,比如说带宽、内存、CPU等等,导致正常用户得不到服务。

主要的防护手段是硬件+软件结合,识别出恶意流量的特征并拒绝。

社会工程学攻击

该攻击就是靠坑蒙拐骗诱使受害者操作,比如说提供验证码、个人信息等,最终造成受害者的损失。

参考链接