iT邦幫忙

2024 iThome 鐵人賽

DAY 6
0
自我挑戰組

從0開始學資安系列 第 6

Day6 常見攻擊手法

  • 分享至 

  • xImage
  •  

這篇文章將簡單介紹三種常見的攻擊手法 - SQL Injection、XSS和CSRF:

SQL注入攻擊 SQL Injection

將惡意的SQL查詢注入到應用程式輸入欄位中,誘使應用程式執行未預期的查詢,而獲得資料庫中的敏感資訊、竄改資料或刪除資料。

攻擊範例

假設你有一個登入表單,查詢代碼如下:

SELECT * FROM users WHERE username = 'admin' AND password = 'password123';

攻擊者可以在user欄位輸入:

admin' --

會變成:

SELECT * FROM users WHERE username = 'admin' -- ' AND password = 'password123';

--使後面的部分變成注釋,導致密碼檢查會被繞過,這樣就可以成功登入。

防禦

  • 使用參數化查詢
    例:
SELECT * FROM users WHERE username = ? AND password = ?
  • 過濾和驗證所有輸入

XSS

攻擊者將惡意的JavaScript代碼注入到網頁中,當其他使用者進入該頁面時,惡意代碼會在使用者的瀏覽器中執行,從而竊取敏感資訊、竄改頁面。

攻擊範例

攻擊者輸入:

<script>alert('Hacked!');</script>

這樣使用者瀏覽該介面時,這段代碼將自動執行,彈出提示框,也可以利用這種手段竊取cookie等敏感資訊。

防禦

  • 對所有輸入進行嚴格的過濾與編碼。
  • 使用現代框架(如React、Angular),它們自帶防止XSS的機制。

CSRF

攻擊者誘使使用者在已經登入的狀態下執行未授權的操作,例如利用惡意網站發送請求,從而操作使用者帳戶。


上一篇
Day 5 密碼學基礎
下一篇
Day 7 實作練習:TryHackMe
系列文
從0開始學資安30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言