一、Dos攻擊(Denial of Service attack)
是一種針對服務器的能夠讓服務器呈現靜止狀態的攻擊方式。有時候也加服務停止攻擊或拒絕服務攻擊。其原理就是發送大量的合法請求到服務器,服務器無法分辨這些請求是正常請求還是攻擊請求,所以都會照單全收。海量的請求會造成服務器停止工作或拒絕服務的狀態。這就是Dos攻擊。
二、跨站點請求偽造(CSRF,Cross-Site Request Forgeries)
是指攻擊者通過已經設置好的陷阱,強制對已完成認證的用戶進行非預期的個人信息或設定信息等某些狀態的更新。屬於被動攻擊。更簡單的理解就是攻擊者盜用了你的名義,以你的名義發送了請求。
一個CSRF最簡單的例子就是用戶A登錄了網站A在虛擬賬戶里轉賬了1000塊錢,用戶A在本地生成了網站A的cookie,用戶A在沒有關閉網站A的情況下有訪問了惡意網站B,惡意網站B包含請求A網站的代碼,利用了本地的cookie經過身份驗證的身份又向網站A發送了一次請求,這時你就會發現你在網站A的賬戶又少了1000塊。這就是基本的CSRF攻擊方式。
三、SOL注入攻擊
是指通過對web連接的數據庫發送惡意的SQL語句而產生的攻擊,從而產生安全隱患和對網站的威脅,可以造成逃過驗證或者私密信息泄露等危害。
SQL注入的原理是通過在對SQL語句調用方式上的疏漏,惡意注入SQL語句。
SQL注入常見的兩個例子:
1、私密信息泄露
假如一個出版書籍的網站,具有根據作者姓名查詢已出版書籍的功能,作者未出版的書籍不能被普通用戶看到,因為版權屬於隱私的問題。那么假設請求是用HTTP的GET請求來完成的,其地址欄請求內容為:www.book.com?serach=echo
完成此功能的SQL語句為簡單的根據條件查找:select * from book where author = 'echo' and flag = 1; flag等於1代表書籍已出版。
這時如果有的用戶直接地址欄里輸入www.book.com?serach=echo'-- 這樣請求會發生什么??
這樣的請求傳到服務器里的狀態會是這樣子的 select * from book where author = 'echo' -- and flag = 1;在SQL語句中--代表注釋,會自動忽略掉后面的內容,所以這個請求是騙過服務器把作者為echo的已出版和未出版的書籍全部顯示在網頁上。造成網站違背開發者的意圖,造成信息泄露。
四、XSS攻擊(Cross-Site scripting)
跨站腳本攻擊,是指在通過注冊的網站用戶的瀏覽器內運行非法的HTML標簽或javascript,從而達到攻擊的目的,如盜取用戶的cookie,改變網頁的DOM結構,重定向到其他網頁等。