描述我所瞭解的 Web 攻擊技術
何謂網路攻擊?
駭客透過各種系統漏洞或惡意程式,搭配許多技術和工具進行攻擊。目標是要在企業或個人電腦網路中損害、取得控制權或存取重要的文件和系統。
例如:
- XSS(Cross-Site Scripting,跨站腳本攻擊/跨網站指令碼):指網路罪犯透過存在安全漏洞的 Web 網站,將惡意的JavaScript代碼嵌入到網頁上,或垃圾郵件網站連結傳送到您的收件匣並且開啟了該連結的方式,造成個人資訊外洩被其他用戶的瀏覽器執行,通常用於竊取cookie或其他敏感訊息。
這樣的攻擊通常涉及以下三種主要類型:
- 存儲型 XSS(Stored XSS):網路罪犯將惡意的指令碼存儲在目標網站的數據庫中,當其他用戶訪問相應的頁面時,該指令碼被植入並執行。
- 反射型 XSS(Reflected XSS):網路罪犯將惡意指令碼附加到 URL 中,當用戶點擊包含這些惡意指令碼的 URL 時,惡意指令碼就會被執行。
- DOM-based XSS:網路罪犯透過修改網頁的 DOM(Document Object Model)來執行惡意指令碼。這種攻擊主要基於客戶端的 JavaScript 代碼。
- SQL 注入攻擊:指網路罪犯利用應用程式 (亦即 LinkedIn、Target) 在輸入字段中插入惡意SQL代碼來竊取、刪除或取得數據庫中的資料控制權,或執行惡意操作。
- CSRF(Cross-Site Request Forgeries,跨站點請求偽造/跨網站偽造):指網路罪犯通過設置好的陷阱,誘使使用者意外使用其認證來叫用狀態變更活動,例如從他們的帳戶轉移資金、變更他們的電子郵件地址和密碼或發送訊息等。對於帳戶管理員來說,CSRF 攻擊可能會危及整個伺服器,導致被完全接管 Web 應用程式、API 或其他服務。
CSRF 通常有以下流程:
- 使用者使用正常流程登入「目標網站」。
- 「惡意網站」利用目標網站對使用者的信任(credentials),例如 Cookies。
- 欺騙使用者到「惡意網站」後,誘使使用者點擊某個按鈕,但這個按鈕可能會送出表單,而該表單的請求對象是對到「目標網站」。
- 瀏覽器預設會把使用者在「目標網站」的 Cookie 連帶送出,因此雖然該請求是在「惡意網站」發出,但「目標網站」收到請求時因為帶有 credentials,所以會誤以為是合法的請求。