後端技術考古題- Web Operations 下篇

閱讀時間約 2 分鐘

描述我所瞭解的 Web 攻擊技術

何謂網路攻擊?

駭客透過各種系統漏洞或惡意程式,搭配許多技術和工具進行攻擊。目標是要在企業或個人電腦網路中損害、取得控制權或存取重要的文件和系統。

例如:

  • XSS(Cross-Site Scripting,跨站腳本攻擊/跨網站指令碼):指網路罪犯透過存在安全漏洞的 Web 網站,將惡意的JavaScript代碼嵌入到網頁上,或垃圾郵件網站連結傳送到您的收件匣並且開啟了該連結的方式,造成個人資訊外洩被其他用戶的瀏覽器執行,通常用於竊取cookie或其他敏感訊息。

這樣的攻擊通常涉及以下三種主要類型:

  1. 存儲型 XSS(Stored XSS):網路罪犯將惡意的指令碼存儲在目標網站的數據庫中,當其他用戶訪問相應的頁面時,該指令碼被植入並執行。
  2. 反射型 XSS(Reflected XSS):網路罪犯將惡意指令碼附加到 URL 中,當用戶點擊包含這些惡意指令碼的 URL 時,惡意指令碼就會被執行。
  3. DOM-based XSS:網路罪犯透過修改網頁的 DOM(Document Object Model)來執行惡意指令碼。這種攻擊主要基於客戶端的 JavaScript 代碼。

  • SQL 注入攻擊:指網路罪犯利用應用程式 (亦即 LinkedIn、Target) 在輸入字段中插入惡意SQL代碼來竊取、刪除或取得數據庫中的資料控制權,或執行惡意操作。

  • CSRF(Cross-Site Request Forgeries,跨站點請求偽造/跨網站偽造):指網路罪犯通過設置好的陷阱,誘使使用者意外使用其認證來叫用狀態變更活動,例如從他們的帳戶轉移資金、變更他們的電子郵件地址和密碼或發送訊息等。對於帳戶管理員來說,CSRF 攻擊可能會危及整個伺服器,導致被完全接管 Web 應用程式、API 或其他服務。

CSRF 通常有以下流程:

  1. 使用者使用正常流程登入「目標網站」。
  2. 「惡意網站」利用目標網站對使用者的信任(credentials),例如 Cookies。
  3. 欺騙使用者到「惡意網站」後,誘使使用者點擊某個按鈕,但這個按鈕可能會送出表單,而該表單的請求對象是對到「目標網站」。
  4. 瀏覽器預設會把使用者在「目標網站」的 Cookie 連帶送出,因此雖然該請求是在「惡意網站」發出,但「目標網站」收到請求時因為帶有 credentials,所以會誤以為是合法的請求。
    全端網頁開發專業知識分享
    留言0
    查看全部
    發表第一個留言支持創作者!
    你可能也想看
    後端硬體輸出-解說 製作檔案後續流程 -->底片-->曬版-->印刷機---印刷 -->出版----------->印刷機---印刷 最先接觸的是底片機,那時照相機還是膠捲時代,而報紙與周刊要印刷前都是輸出成透明黑字圖底片,再經由曬版功序進入印刷機。 出片機 以下廠牌為當時最大宗(中譯名),西元年是我
    Thumbnail
    avatar
    怡伶
    2023-08-29
    非本科轉職後端工程師的心路歷程菜雞成長故事 寫這一篇主因也是因為身邊朋友陸陸續續想往軟體業發展,或是想動手做做小專案,故才成就了這一篇心路歷程,這邊會介紹我的背景、學習管道跟我如何選擇第一個程式語言作為敲門磚跟學習時間,希望能幫助還在努力中或是預計要轉職的各位有一個方向或是參考?(雖然我依然還是一個小菜雞,請鞭小力)
    Thumbnail
    avatar
    DDDDD
    2023-08-18
    【好想工作室 — 後端 (backend Camp)培訓心得(五):這麼多東西,要怎麼學最有效率?】初學後端的人,可能對如何學習後端技術或語言會感到很困惑。 本篇文章提供了作者的幾種思路,幫助後端學員進行學習
    Thumbnail
    avatar
    結語JYu
    2023-04-01
    【好想工作室 — 後端 (backend Camp)培訓心得(四):我快崩潰了,怎麼辦?】在工作室培訓難免會陷入低潮的原因,本篇文章分析了陷入低潮的原因,及提供預防及解決方法。
    Thumbnail
    avatar
    結語JYu
    2023-04-01
    好想工作室 — 後端 (backend Camp)培訓心得(三):我好想進來好想這篇文章針對對好想工作室後端培訓(backend camp)有興趣的人,給他們一些申請建議。
    Thumbnail
    avatar
    結語JYu
    2023-04-01
    【好想工作室 — 後端 (backend Camp)培訓心得(二):backend camp 在幹嘛】本篇文章介紹了好想工作室後端培訓(backend camp)可能會遇到的各種狀況。
    Thumbnail
    avatar
    結語JYu
    2023-04-01
    【好想工作室 — 後端 (backend Camp)培訓心得(一):好想工作室簡介】簡單介紹好想工作室。 好想工作室是一個在台南的「資訊聚落」,提供免費的軟體工程師培訓,目前位於台南火車站旁。
    Thumbnail
    avatar
    結語JYu
    2023-04-01
    技術分享 | 如何成為後端工程師嗨 我是森妮 上週讓大家投票下一篇文章,沒想到後端工程師篇壓倒性勝利 前端工程師篇不知道大家喜不喜歡!陸續在IG有收到私訊有不少關於後端工程師的問題,我只要有時間都會回應,也歡迎來跟我聊聊天 【後端工程師】 [工作流程] 團隊中的PM、SA與客戶進行需求確認 [學習路徑] >基礎概念與工具
    Thumbnail
    avatar
    森妮後端工程師日常
    2022-09-07
    碳權商機|因應極端氣候與國際碳定價趨勢,蘇貞昌:積極修定《氣候法》,納 2050 淨零排放 隨著全球啟動「淨零競逐」(Race to Zero),以及國際碳定價趨勢越來越盛行,行政院長蘇貞昌 8 月要求環保署積極辦理「溫室氣體減量及管理法」修法作業,不僅要納入 2050 淨零排放的減排目標,也要加速台灣碳定價制度的擬定。 蘇貞昌:台灣深受極端氣候衝擊,氣候行動不應落於人後 今年台灣面臨嚴
    Thumbnail
    avatar
    本住人
    2021-09-11
    Laravel Socialite 實作前後端分離的第三方登入 API本文使用網站的 FB 登入做示範 採用 Laravel 8 + Socialite 5 使用 Session 記錄狀態 不同版本可能會有些許語法及方法上的差異,請自行調整 前言 最近因為碰到需要實作 OAuth 第三方登入的需求,只好把之前隨便看看的東西撿回來研究並實作。不過我找到多數現存的中文文章
    Thumbnail
    avatar
    hms5232
    2021-02-21