总结:常见的攻击服务器的手段
一、拒绝服务
这是常见的一种方式,即DOS攻击或DDOS攻击,通过向某个站点服务器反复发送请求,导致无法承载大量的请求而“拒绝服务”。
被攻击的原因
- 服务器带宽不足,不能挡住攻击者的攻击流量
案例:
- SYN Flood ,简单说一下tcp三次握手,客户端先服务器发出请求,请求建立连接,然后服务器返回一个报文,表明请求以被接受,然后客户端也会返回一个报文,最后建立连接。那么如果有这么一种情况,攻击者伪造ip地址,发出报文给服务器请求连接,这个时候服务器接受到了,根据tcp三次握手的规则,服务器也要回应一个报文,可是这个ip是伪造的,报文回应给谁呢,第二次握手出现错误,第三次自然也就不能顺利进行了,这个时候服务器收不到第三次握手时客户端发出的报文,又再重复第二次握手的操作。如果攻击者伪造了大量的ip地址并发出请求,这个时候服务器将维护一个非常大的半连接等待列表,占用了大量的资源,最后服务器瘫痪。
- CC攻击,在应用层http协议上发起攻击,模拟正常用户发送大量请求直到该网站拒绝服务为止。
防御:
阿里巴巴的安全团队在实战中发现,DDoS 防御产品的核心是检测技术和清洗技术。检测技术就是检测网站是否正在遭受 DDoS 攻击,而清洗技术就是清洗掉异常流量。而检测技术的核心在于对业务深刻的理解,才能快速精确判断出是否真的发生了 DDoS 攻击。清洗技术对检测来讲,不同的业务场景下要求的粒度不一样。
- 最直接的方法增加带宽。但是攻击者用各地的电脑进行攻击,他的带宽不会耗费很多钱,但对于服务器来说,带宽非常昂贵。
- 云服务提供商有自己的一套完整DDoS解决方案,并且能提供丰富的带宽资源
二、SQL注入
利用后台漏洞通过URL将关键SQL语句带入程序从而在数据库中进行破坏。
例子:
uname = request.POST['username']
password = request.POST['password']sql = "SELECT all FROM users WHERE username='" + uname + "' AND password='" + password + "'"database.execute(sql)
上面这段程序直接将客户端传过来的数据写入到数据库。试想一下,如果用户传入的 password 值是: "password’ OR 1=1",那么 sql 语句便会变成:
sql = "SELECT all FROM users WHERE username='username' AND password='password' OR 1=1"
如上语句就会所有的用户的账号密码给泄漏了;
防御:
- Prepared Statements (with Parameterized Queries): 参数化的查询语句可以强制应用开发者首先定义所有的 sql 代码,之后再将每个参数传递给查询语句
- 敏感数据在数据库里加密后存放,这样即使数据泄漏可能也是安全的
三、网络嗅探程序
查看通过Internet的数据包来抓取口令和内容,通过侦听器程序可以监视网络数据流,从而获得用户登录的账号和密码。
四、钓鱼网站
这种手段需要黑帽会构建钓鱼网站,对目标网站的请求方式比较了解,一般会通过在目标网站内利用留言功能留下网址,可能管理员会通过这个网址进入黑帽构造的网页而触发增加管理用户的请求。
五、木马植入
黑客直接通过向服务器种植木马,开启,取得控制权。
六、恶意小程序
携带在我们常用应用上的微型程序,可以修改硬盘上的文件,以窃取口令等。
参考:
浅谈常用的几种web攻击方式
总结:常见的攻击服务器的手段相关推荐
- 常见web攻击及其防御手段
目录 一.XSS XSS攻击分类 XSS攻击的危害 防范手段 二.CSRF CSRF攻击的危害 防御 三.点击劫持-clickjacking 防御 四.SQL注入 防御 OS命令注入 请求劫持 一.X ...
- 黑客是如何入侵服务器的,常见的攻击手段有哪些
服务器被入侵既有一定的偶然性,也有一定的必然性,网络上有两种黑客,一种是漫无目的的漫天撒网形式的黑客,一种是目标明确只入侵指定目标的黑客,我们称前一种黑客叫菜鸟黑客,称后一种黑客叫高级黑客.简单的说, ...
- 常见的攻击手段及其防御方式
本文简单介绍几种常见的攻击手段及其防御方式 XSS(跨站脚本攻击) CSRF(跨站请求伪造) SQL注入 DDOS XSS 概念 全称是跨站脚本攻击(Cross Site Scripting),指攻击 ...
- web应用常见的攻击手段
Web应用是由动态脚本.编译过的代码等组合而成. 它通常架设在Web服务器上,用户在Web浏览器上发送请求,这些请求使用HTTP协议,经过因特网和企业的Web应用交互,由Web应用和企业后台的数据库及 ...
- web 常见的攻击方式
文章目录 web常见的攻击方式有哪些?如何防御? web攻击是什么? XSS CSRF SQL注入 web常见的攻击方式有哪些?如何防御? web攻击是什么? Web攻击(WebAttack)是针对用 ...
- Web安全技术—常见的攻击和防御
对于一个Web应用来说,可能会面临很多不同的攻击.下面的内容将介绍一些常见的攻击方法,以及面对这些攻击的防御手段. 一.跨站脚本攻击(XSS) 跨站脚本攻击的英文全称是Cross Site Scrip ...
- 常见的攻击方式以及防护策略
本文主要给大家介绍一下常见的几种网络攻击方式(包括CC,UDP,TCP)和基础防护策略! 1.0 常见的网络攻击方式 第一种CC攻击 CC攻击( ChallengeCoHapsar,挑战黑洞 )是DD ...
- web常见的攻击方式(WebAttack)及如何防御
web常见的攻击方式有哪些?如何防御? 面试官:web常见的攻击方式有哪些?如何防御? 一.是什么 Web攻击(WebAttack)是针对用户上网行为或网站服务器等设备进行攻击的行为 如植入恶意代码, ...
- 常见 Web 攻击(前端篇)
XSS Cross Site Scripting(跨站脚本攻击),因为缩写和 CSS 重叠,所以改叫 XSS.跨站脚本攻击是指通过存在安全漏洞的 Web 网址注册用户的浏览器内运行非本站点 HTML ...
- 常见网络安全攻击路径分析与防护建议
攻击路径是指网络攻击者潜入到企业内部网络应用系统所采取的路径,换句话说,也就是攻击者进行攻击时所采取的相关措施.攻击途径通常代表着有明确目的性的威胁,因为它们会经过详细的准备和规划.从心怀不满的内部人 ...
最新文章
- Apache+php+mysql在windows下的安装与配置(图文)
- Python进阶1——一摞纸牌
- Spring Boot 系列(八)@ControllerAdvice 拦截异常并统一处理
- oracle cols user_tab_columns,user_tab_cols和user_tab_columns的区别
- linux上热编译react,如何使用react进行热加载
- JavaScript从入门到精通[文章列表联接]
- 应用开发者必须了解的Kubernetes网络二三事
- shutdown()函数:优雅地断开TCP连接
- 即插即用的轻量注意力机制ECA--Net
- 不一样的思路,hosts文件在Mysql主从中的应用
- matlab全下标方式取出,matlab习题
- 深夜,学妹遇到了数据分析师生涯的第一个疑问
- Java EE陷阱#1:忽略@Singleton的默认锁定
- 马云下死命令留人?阿里辟谣:不会高薪聘请黑掉阿里网站的人
- 自定义shell脚本
- 漫话:是时候说说到底什么是 IPv4 和 IPv6 了!
- Guided Adversarial Attack for Evaluating and Enhancing Adversarial Defenses
- 【Flutter】Dart 中国身份证验证,出生日期、性别、年龄查询
- 小米linux平板触摸屏驱动安装方法,windows10系统怎样安装触摸屏的驱动
- 肠道微生物:治疗功能性消化不良的新途径