今天整理一下網站的攻擊手法，因為查到的攻擊手法類型有點多，想說分成兩天

常見攻擊手法

Google hacking

利用Google提供的搜尋功能，利用語法的查詢，查詢出機敏性資料

相關的語法可以參考網路上其他文章教學。

可能的影響

• 機敏性資料洩漏

防範

• 存取權限限制及檢查
• 設定robots.txt，(要注意雖然爬蟲部會去爬取特定檔案，但是也告訴有心人士哪裡可能有資料)
• 設定HTML標籤 <meta>，根據設置的屬性禁止相對應爬取的功能
  例如

  <meta name="robots" content="noindex,noimageindex,nofollow, nosnippet" >
  

SQL Injection

在之前2021 OWASP Top 10有出現，主要是後端程式，在輸入參數過於相信使用者輸入未針對使用者的參數進行檢查，或者使用字串相加組成SQL語法。

可能影響

• 身份驗證繞過
• 資料庫資料洩漏
• 資料庫內容遭竄改
• 讀取主機機密檔案
• 執行OS指令

預防

• 使用參數化
• 使用正規表示法(Regex)或者輸入參數限制
• 遵守最小權限原則
• 使用WAF(Web Application Firewall)防護

額外分享

之前看過一題Google CTF的題目，雖然有針對使用者的參數參數化，這題是利用mysql的語法特性和Nodejs express 的擴充套件，來造成身份繞過，有興趣的可以看一下，影片連結：youtube 影片連結

XSS

類型

• Reflected XSS(反射型)
  藉由原網站弱點，建立惡意網址誘騙使用者點擊含有惡意語法的連結

• Stored XSS(儲存型)
  藉由原網站將惡意語法存入後端(資料庫)，藉由讀取資料執行相關語法

• DOM-Based XSS
  網站在執行javascript，未詳細檢查資料使得產生惡意語法

• Server Side XSS (Dynamic PDF)

  最近在看影片看到的，不確定有沒有多這一個類型

  假如網站使用使用者的輸入資料去生成建立PDF，攻擊者可以嘗試輸入惡意語法，讓產生PDF的程式去執行任意javascript語法，可以獲取Server端的相關資料或者對其他的服務進行攻擊。

影響

• 身份冒用，查看相關機敏資料
• 導向惡意的釣魚網站，騙取使用者個人資料(帳號密碼)
• 誘騙使用者下載惡意軟體
• 獲取相關資料

預防

• 驗證輸用者輸入資料，要在後端檢查，不要在前端檢查(有手法可以進行前端語法繞過)
• 避免瀏覽器可以執行惡意語法

參考資料

• ITRI College+ 工研院產業學院課程
• 資安補帖─Day2─想學資安，先學寫程式&利用Google當個駭客(談Google Hacking)
• 何為Google Hacking？它的強大你真的了解嗎
• 三分鐘搞懂 SEO的《meta robots、robots.txt》
• [Postx1] 攻擊行為－SQL 資料隱碼攻擊 SQL injection
• 『 Day 9 』Web Security - A7 . Cross-Site Scripting (XSS)

如果有任何錯誤的地方歡迎提出。

後記

可以觀看我們團隊的鐵人發文~

• 打造你的主題地圖！Mapbox 也可以！(ft. React)
• 新手進化日記，從React至Redux Saga