💝💝💝歡迎來到我的博客，很高興能夠在這里和您見面！希望您在這里可以感受到一份輕松愉快的氛圍，不僅可以獲得有趣的內容和知識，也可以暢所欲言、分享您的想法和見解。

非常期待和您一起在這個小小的網絡世界里共同探索、學習和成長。💝💝💝

?? 歡迎訂閱本專欄 ??

博客目錄

• • • 1.Ddos 攻擊
    • 2.SYN Flood
    • 3.如何應對 Ddos 攻擊
    • 4.Xss 漏洞
    • 5.越權訪問漏洞
    • 6.水平越權與垂直越權
    • 7.水平越權
    • 8.垂直越權

1.Ddos 攻擊

DDos 全名 Distributed Denial of Service，翻譯成中文就是分布式拒絕服務。指的是處于不同位置的多個攻擊者同時向一個或數個目標發動攻擊，是一種分布的、協同的大規模攻擊方式。單一的 DoS 攻擊一般是采用一對一方式的，它利用網絡協議和操作系統的一些缺陷，采用欺騙和偽裝的策略來進行網絡攻擊，使網站服務器充斥大量要求回復的信息，消耗網絡帶寬或系統資源，導致網絡或系統不勝負荷以至于癱瘓而停止提供正常的網絡服務。

2.SYN Flood

SYN Flood 是一種利用 TCP 協議缺陷，發送大量偽造的 TCP 連接請求，從而使得被攻擊方資源耗盡（CPU 滿負荷或內存不足）的攻擊方式。

一次正常的建立 TCP 連接，需要三次握手：客戶端發送 SYN 報文，服務端收到請求并返回報文表示接受，客戶端也返回確認，完成連接。

SYN Flood 就是用戶向服務器發送報文后突然死機或掉線，那么服務器在發出應答報文后就無法收到客戶端的確認報文（第三次握手無法完成），這時服務器端一般會重試并等待一段時間后再丟棄這個未完成的連接。

一個用戶出現異常導致服務器的一個線程等待一會兒并不是大問題，但惡意攻擊者大量模擬這種情況，服務器端為了維護數以萬計的半連接而消耗非常多的資源，結果往往是無暇理睬客戶的正常請求，甚至崩潰。從正常客戶的角度看來，網站失去了響應，無法訪問。

3.如何應對 Ddos 攻擊

• 高防服務器
• 黑名單
• DDos 清洗
• CDN 加速

CDN 加速，我們可以這么理解：為了減少流氓騷擾，我干脆將火鍋店開到了線上，承接外賣服務，這樣流氓找不到店在哪里，也耍不來流氓了。

4.Xss 漏洞

定義: XSS 攻擊全稱跨站腳本攻擊，是為不和層疊樣式表(Cascading Style Sheets, CSS)的縮寫混淆，故將跨站腳本攻擊縮寫為 XSS，XSS 是一種在 web 應用中的計算機安全漏洞，它允許惡意 web 用戶將代碼植入到 web 網站里面，供給其它用戶訪問，當用戶訪問到有惡意代碼的網頁就會產生 xss 攻擊。

危害:

1、盜取各類用戶帳號，如機器登錄帳號、用戶網銀帳號、各類管理員帳號
2、控制企業數據，包括讀取、篡改、添加、刪除企業敏感數據的能力
3、盜竊企業重要的具有商業價值的資料
4、非法轉賬
5、強制發送電子郵件
6、網站掛馬
7、控制受害者機器向其它網站發起攻擊

防御方法:XSS 防御的總體思路是：對輸入(和 URL 參數)進行過濾，對輸出進行編碼。

5.越權訪問漏洞

越權訪問（Broken Access Control，簡稱 BAC）是 Web 應用程序中一種常見的漏洞，由于其存在范圍廣、危害大，被 OWASP 列為 Web 應用十大安全隱患的第二名。

該漏洞是指應用在檢查授權時存在紕漏，使得攻擊者在獲得低權限用戶賬戶后，利用一些方式繞過權限檢查，訪問或者操作其他用戶或者更高權限。越權漏洞的成因主要是因為開發人員在對數據進行增、刪、改、查詢時對客戶端請求的數據過分相信而遺漏了權限的判定。越權訪問漏洞主要分為水平越權訪問和垂直越權訪問。

6.水平越權與垂直越權

防范措施:

• 前后端同時對用戶輸入信息進行校驗，雙重驗證機制
• 調用功能前驗證用戶是否有權限調用相關功能
• 執行關鍵操作前必須驗證用戶身份，驗證用戶是否具備操作數據的權限
• 直接對象引用的加密資源 ID，防止攻擊者枚舉 ID，敏感數據特殊化處理
• 永遠不要相信來自用戶的輸入，對于可控參數進行嚴格的檢查與過濾

7.水平越權

水平越權:水平越權訪問是一種“基于數據的訪問控制”設計缺陷引起的漏洞。由于服務器端在接收到請求數據進行操作時沒有判斷數據的所屬人/所屬部門而導致的越權數據訪問漏洞。

假設用戶 A 和用戶 B 屬于同一角色，擁有相同的權限等級，他們能獲取自己的私有數據（數據 A 和數據 B），但如果系統只驗證了能訪問數據的角色，而沒有對數據做細分或者校驗，導致用戶 A 能訪問到用戶 B 的數據（數據 B），那么用戶 A 訪問數據 B 的這種行為就叫做水平越權訪問。

8.垂直越權

垂直越權是一種“基于 URL 的訪問控制”設計缺陷引起的漏洞，又叫做權限提升攻擊。

由于后臺應用沒有做權限控制，或僅僅在菜單、按鈕上做了權限控制，導致惡意用戶只要猜測其他管理頁面的 URL 或者敏感的參數信息，就可以訪問或控制其他角色擁有的數據或頁面，達到權限提升的目的。

??????本人水平有限，如有紕漏，歡迎各位大佬評論批評指正！😄😄😄

💘💘💘如果覺得這篇文對你有幫助的話，也請給個點贊、收藏下吧，非常感謝!👍 👍 👍

🔥🔥🔥Stay Hungry Stay Foolish 道阻且長,行則將至,讓我們一起加油吧！🌙🌙🌙

總結

以上是生活随笔為你收集整理的【檀越剑指大厂--网络安全】网络安全学习的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。