面試題:你所了解的web攻擊?
1、xss攻擊
2、CSRF攻擊
3、網絡劫持攻擊
4、控制台注入代碼
5、釣魚
6、DDoS攻擊
7、SQL注入攻擊
8、點擊劫持
一、xss攻擊
- XSS攻擊:跨站腳本攻擊(Cross-Site Scripting),攻擊目標是為了盜取存儲在客戶端的cookie或者其他網站用於識別客戶端身份的敏感信息。一旦獲取到合法用戶的信息后,攻擊者甚至可以假冒合法用戶與網站進行交互。
- 防御方法:過濾特殊字符,HttpOnly 瀏覽器禁止頁面的JS訪問帶有HttpOnly屬性的Cookie
二、CSRF攻擊
- CSRF(Cross-site request forgery)跨站請求偽造:攻擊者誘導受害者進入第三方網站,在第三方網站中,向被攻擊網站發送跨站請求。利用受害者在被攻擊網站已經獲取的注冊憑證,繞過后台的用戶驗證,達到冒充用戶對被攻擊的網站執行某項操作的目的。
三、網絡劫持攻擊
- 主要是通過一些代理服務器,或者wifi等有中間件的網絡請求,進行劫持,不法分子通過這種方式獲取到用戶的信息
- 最好是采用https進行加密,這種通過請求網絡地址攻擊的我們可以通過對http進行加密,來防范,這樣不法分子即使或得到,也無法解密
四、控制台注入代碼
- 不法分子通過各種提示誘騙用戶在控制台做一些操作,從而獲取用戶信息。
- 我們最好在控制台對用戶進行友好的提示,必要輕易相信這種提示燈。
五、釣魚攻擊
釣魚攻擊是獲得用戶敏感信息的一種方法。釣魚攻擊的目標通常是在線銀行用戶、PayPal、eBay等。
主要形式
1、電子郵件釣魚
- 群發郵件,欺騙用戶點擊惡意的鏈接或附件,獲取有價值的信息。
2、網站釣魚
- 在網站上偽造一個網站,通常是模仿合法的某個網站。為了欺騙用戶點擊這個網站還會采取些輔助技術,比如釣魚郵件、短信、電話。
3、魚叉式釣魚
- 使用欺騙性的網站,針對於一小群目標受眾。
4、鯨釣
- 目標為高端人群或者高級管理人員的魚叉式釣魚。
了解反釣魚機制
1.SPF記錄
SPF是為了防范垃圾郵件而提出來的一種DNS記錄類型,它是一種TXT類型的記錄,它用於登記某個域名擁有的用來外發郵件的所有IP地址。
2.SafeBrowsing API
谷歌的一個隨時可以通過互聯網訪問的API,允許允許瀏覽器在渲染之前檢測URL的正確性。
六、DDOS攻擊
- DDOS:分布式拒絕服務攻擊(Distributed Denial of Service),簡單說就是發送大量請求是使服務器癱瘓。DDos攻擊是在DOS攻擊基礎上的,可以通俗理解,dos是單挑,而ddos是群毆,因為現代技術的發展,dos攻擊的殺傷力降低,所以出現了DDOS,攻擊者借助公共網絡,將大數量的計算機設備聯合起來,向一個或多個目標進行攻擊。
- 最直接的方法增加帶寬。但是攻擊者用各地的電腦進行攻擊,他的帶寬不會耗費很多錢,但對於服務器來說,帶寬非常昂貴。
- 雲服務提供商有自己的一套完整DDoS解決方案,並且能提供豐富的帶寬資源。------如果是阿里雲推薦使用高防。
七、SQL注入攻擊
- 通過對web連接的數據庫發送惡意的SQL語句而產生的攻擊,從而產生安全隱患和對網站的威脅,可以造成逃過驗證或者私密信息泄露等危害。SQL注入的原理是通過在對SQL語句調用方式上的疏漏,惡意注入SQL語句。
- 預防:md5加密
八、點擊劫持
- 點擊劫持是指在一個Web頁面中隱藏了一個透明的iframe,用外層假頁面誘導用戶點擊,實際上是在隱藏的frame上觸發了點擊事件進行一些用戶不知情的操作。