今天繼續更新和應用程式有關的攻擊方式。

例外處理

例外處理是指軟硬體在執行程式的過程中發生非預期狀況的應對處理。若沒有處理例外情況的話會提高資源管理風險，或導致系統或服務異常中止。

重播攻擊

重播攻擊也叫做重放攻擊(Replay attack)，是攻擊者將目標用戶對於伺服器傳送的資料或動作進行攔截後在網路上進行重覆傳輸。如果伺服器端沒有做好判斷防範的話會讓該用戶的帳號重複進行相同操作，例如讓用戶重複進行付款交易，攻擊者也可以將攔截到的訊息進行剪貼後攻擊、損毀系統。在這篇文章什麼是重放攻擊？裡提到可以透過時間戳記來判斷是否為重放攻擊，降低損失。這篇文章同時也詳細的說明了重放攻擊議題在區塊鏈及加密貨幣領域裡的重要性和防範方式。

請求偽造

請求偽造是一種利用目標用戶身分和名義發送惡意請求的攻擊手法，分成伺服器端請求偽造(Server side request forgeries)及跨站請求偽造(Cross site request forgeries)。這兩種攻擊方式的差別是，伺服器端請求偽造是透過用戶端發送偽造請求攻擊在內部受保護的目標伺服器。這篇Medium文章網站安全? 伺服器端請求偽造 SSRF 攻擊 — 「項莊舞劍，意在沛公」解釋的滿詳細的，裡面用"項莊舞劍意在沛公"做比喻滿生動又有故事的說明伺服器請求偽造的原理，以及相關的防範做法。
而跨站請求偽造則是攻擊者欺騙目標用戶的瀏覽器去存取用戶曾經認證過的網站去執行非用戶自願或用戶不知情的操作，例如利用用戶身分發送郵件訊息、進行有價交易等等。
在這篇文章程式猿必讀-防範CSRF跨站請求偽造裡詳細說明了跨站請求偽造的原理、危害及防範方式。

延伸閱讀

(1) 例外處理Wiki
(2) 跨站請求偽造

失敗感想

打了一堆結果送出前網路斷掉，沒存到檔要重打、又沒來的及在時間內發文。沒想到才第五天就要發失敗感言，果然事情還是不能拖到最後才開始，還有隨時儲存草稿也很重要...好難過喔我的完賽獎牌QQQ