iT邦幫忙

2023 iThome 鐵人賽

DAY 4
0

攻擊的常見目標

  • 數據竊取:如用戶資料、信用卡信息、企業機密等。
  • 服務中斷:使目標服務無法正常運行,影響其商業或服務。
  • 權限提升:獲得系統更高級的操作權限。
  • 數據篡改:更改網站的內容或數據。

常見的 Web 攻擊種類

SQL 注入(SQL Injection)

  • 目的:竊取或更改數據庫中的數據。
  • 手法:在 Web 應用的輸入框中輸入惡意 SQL 語句,例如登入要輸入帳號密碼的地方。
  • 範例
'OR 1=1 --

跨站腳本攻擊(XSS)

  • 目的:竊取用戶 Cookie、權限或者其他敏感資訊。
  • 手法:插入惡意的 JavaScript 代碼。
  • 範例
<script>alert(1);</script> 

跨站請求偽造(CSRF)

  • 目的:在用戶不知情的情況下,以其身份進行操作。
  • 手法:誘導用戶訪問一個包含惡意請求的網頁
  • 範例
<script src="惡意連結">

服務器端請求偽造(SSRF)

  • 目的:訪問或攻擊內網資源。
  • 手法:利用服務器進行非法的內部請求。
  • 範例
    https://ithelp.ithome.com.tw/upload/images/20230919/20162491Sj3SD882vZ.png

文件上傳漏洞

  • 目的:上傳惡意文件以執行惡意代碼。
  • 手法:利用文件上傳功能的安全缺陷。

命令注入(Command Injection)

  • 目的:執行非法系統命令。
  • 手法:通過輸入欄位輸入惡意命令。
  • 注入類似 Linux 指令等等的。

防禦措施

  • 輸入驗證:驗證所有用戶輸入。
  • 輸出編碼:避免數據被錯誤解釋。
  • 權限管理:確保最小權限原則(Principle of Least Privilege)。
  • 安全配置:保持系統和軟體更新。

參考資料

https://ithelp.ithome.com.tw/articles/10251769
https://medium.com/程式猿吃香蕉/網站安全-伺服器請求偽造-ssrf-攻擊-項莊舞劍-意在沛公-7a5524926362


上一篇
[Day 3]HTTP 協議和 Web 應用結構
下一篇
[Day 5]工具和練習網站的介紹
系列文
從 Moblie Development 主題被損友洗腦鬼轉 Security 的我真的可以完賽嗎?30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言