iT邦幫忙

2022 iThome 鐵人賽

DAY 18
0
Security

資安新人30系列 第 18

資安新人30 Day18 網站常見攻擊手法(二)

  • 分享至 

  • xImage
  •  

今天接續昨天的繼續學習網站的常見攻擊手法/images/emoticon/emoticon08.gif

常見攻擊手法

CSRF

跨站偽造請求攻擊 (Cross-site request forgery,CSRF),又稱為 one-click attack 或者session riding一種挾制使用者在當前已登入的Web應用程式上執行非本意的操作的攻擊方法,利用使用者對網頁瀏覽器的信任

影響

  • 欺騙使用者的瀏覽器,假冒其以使用者的名義執行操作,非使用者自願的行為
  • 依照網站功能漏洞,造成不同程度的風險

預防

  • 加上圖形驗證碼、簡訊驗證碼
  • 新增不可預期的CSRF Token 機制
  • cookie 設定 SameSite

SSRF

伺服器端請求偽造 (Server Side Request Forgery,SSRF),攻擊者在沒有獲得系統權限的情況下,利用Server端主動發起請求,已獲得內網特定的資源

影響

  • 穿透內網進行攻擊
  • 内網資源(機敏性資料)被獲取

預防

  • 避免目錄遍歷 ( Path Traversal ) 漏洞
  • 權限檢查
  • 針對使用的輸入或者接收到參數進行驗證

Clickjacking

使用<iframe><frame><object>,將目標網站載入到惡意網站,並且利用CSS技術隱藏或者偽裝成其他按鈕,誘騙使用者點擊

影響

  • 誘騙使用者點擊非預期的內容,使用者受到不同程度的影響

預防

  • X-Frame-Option,確保其內容不會嵌入到其他網站中,防止釣魚網站透過iframe來籤入自己的網站
  • Content-Security-Polic 內容安全政策的frame-ancestors,禁止使用<frame><iframe>object>

檔案上傳漏洞

攻擊者利用檔案上傳功能的漏洞,未做對應的檢查機制,導至可以上傳惡意檔案(例如木馬、病毒、惡意指令碼或者Webshell等),進行系統攻擊

影響

  • 造成系統或組織毀滅性的傷害
  • 服務中斷
  • 獲取系統的主控權
  • 攻擊其他台機器

預防

  • 上傳檔案前後檢查檔案類型與副檔名、檔案大小
  • 定期檢查上傳後檔案的副檔名是否有異常
  • 安裝防毒軟體,做及時的掃描並隔離
  • 更改上傳檔案名稱,限制讀取權限

參考資料

如果有任何錯誤的地方歡迎提出。/images/emoticon/emoticon41.gif

後記

可以觀看我們團隊的鐵人發文喔~


上一篇
資安新人30 Day17 網站常見攻擊手法(一)
下一篇
資安新人30 Day19 資料庫備份機制
系列文
資安新人3030
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言