這篇文章將簡單介紹三種常見的攻擊手法 - SQL Injection、XSS和CSRF:
將惡意的SQL查詢注入到應用程式輸入欄位中,誘使應用程式執行未預期的查詢,而獲得資料庫中的敏感資訊、竄改資料或刪除資料。
假設你有一個登入表單,查詢代碼如下:
SELECT * FROM users WHERE username = 'admin' AND password = 'password123';
攻擊者可以在user
欄位輸入:
admin' --
會變成:
SELECT * FROM users WHERE username = 'admin' -- ' AND password = 'password123';
--
使後面的部分變成注釋,導致密碼檢查會被繞過,這樣就可以成功登入。
SELECT * FROM users WHERE username = ? AND password = ?
攻擊者將惡意的JavaScript代碼注入到網頁中,當其他使用者進入該頁面時,惡意代碼會在使用者的瀏覽器中執行,從而竊取敏感資訊、竄改頁面。
攻擊者輸入:
<script>alert('Hacked!');</script>
這樣使用者瀏覽該介面時,這段代碼將自動執行,彈出提示框,也可以利用這種手段竊取cookie等敏感資訊。
攻擊者誘使使用者在已經登入的狀態下執行未授權的操作,例如利用惡意網站發送請求,從而操作使用者帳戶。