【檀越剑指大厂--网络安全】网络安全学习
💝💝💝歡迎來到我的博客,很高興能夠在這里和您見面!希望您在這里可以感受到一份輕松愉快的氛圍,不僅可以獲得有趣的內(nèi)容和知識,也可以暢所欲言、分享您的想法和見解。
非常期待和您一起在這個小小的網(wǎng)絡(luò)世界里共同探索、學(xué)習(xí)和成長。💝💝💝
?? 歡迎訂閱本專欄 ??
博客目錄
- 1.Ddos 攻擊
- 2.SYN Flood
- 3.如何應(yīng)對 Ddos 攻擊
- 4.Xss 漏洞
- 5.越權(quán)訪問漏洞
- 6.水平越權(quán)與垂直越權(quán)
- 7.水平越權(quán)
- 8.垂直越權(quán)
1.Ddos 攻擊
DDos 全名 Distributed Denial of Service,翻譯成中文就是分布式拒絕服務(wù)。指的是處于不同位置的多個攻擊者同時向一個或數(shù)個目標(biāo)發(fā)動攻擊,是一種分布的、協(xié)同的大規(guī)模攻擊方式。單一的 DoS 攻擊一般是采用一對一方式的,它利用網(wǎng)絡(luò)協(xié)議和操作系統(tǒng)的一些缺陷,采用欺騙和偽裝的策略來進(jìn)行網(wǎng)絡(luò)攻擊,使網(wǎng)站服務(wù)器充斥大量要求回復(fù)的信息,消耗網(wǎng)絡(luò)帶寬或系統(tǒng)資源,導(dǎo)致網(wǎng)絡(luò)或系統(tǒng)不勝負(fù)荷以至于癱瘓而停止提供正常的網(wǎng)絡(luò)服務(wù)。
2.SYN Flood
SYN Flood 是一種利用 TCP 協(xié)議缺陷,發(fā)送大量偽造的 TCP 連接請求,從而使得被攻擊方資源耗盡(CPU 滿負(fù)荷或內(nèi)存不足)的攻擊方式。
一次正常的建立 TCP 連接,需要三次握手:客戶端發(fā)送 SYN 報文,服務(wù)端收到請求并返回報文表示接受,客戶端也返回確認(rèn),完成連接。
SYN Flood 就是用戶向服務(wù)器發(fā)送報文后突然死機(jī)或掉線,那么服務(wù)器在發(fā)出應(yīng)答報文后就無法收到客戶端的確認(rèn)報文(第三次握手無法完成),這時服務(wù)器端一般會重試并等待一段時間后再丟棄這個未完成的連接。
一個用戶出現(xiàn)異常導(dǎo)致服務(wù)器的一個線程等待一會兒并不是大問題,但惡意攻擊者大量模擬這種情況,服務(wù)器端為了維護(hù)數(shù)以萬計的半連接而消耗非常多的資源,結(jié)果往往是無暇理睬客戶的正常請求,甚至崩潰。從正常客戶的角度看來,網(wǎng)站失去了響應(yīng),無法訪問。
3.如何應(yīng)對 Ddos 攻擊
- 高防服務(wù)器
- 黑名單
- DDos 清洗
- CDN 加速
CDN 加速,我們可以這么理解:為了減少流氓騷擾,我干脆將火鍋店開到了線上,承接外賣服務(wù),這樣流氓找不到店在哪里,也耍不來流氓了。
4.Xss 漏洞
定義: XSS 攻擊全稱跨站腳本攻擊,是為不和層疊樣式表(Cascading Style Sheets, CSS)的縮寫混淆,故將跨站腳本攻擊縮寫為 XSS,XSS 是一種在 web 應(yīng)用中的計算機(jī)安全漏洞,它允許惡意 web 用戶將代碼植入到 web 網(wǎng)站里面,供給其它用戶訪問,當(dāng)用戶訪問到有惡意代碼的網(wǎng)頁就會產(chǎn)生 xss 攻擊。
危害:
1、盜取各類用戶帳號,如機(jī)器登錄帳號、用戶網(wǎng)銀帳號、各類管理員帳號
2、控制企業(yè)數(shù)據(jù),包括讀取、篡改、添加、刪除企業(yè)敏感數(shù)據(jù)的能力
3、盜竊企業(yè)重要的具有商業(yè)價值的資料
4、非法轉(zhuǎn)賬
5、強(qiáng)制發(fā)送電子郵件
6、網(wǎng)站掛馬
7、控制受害者機(jī)器向其它網(wǎng)站發(fā)起攻擊
防御方法:XSS 防御的總體思路是:對輸入(和 URL 參數(shù))進(jìn)行過濾,對輸出進(jìn)行編碼。
5.越權(quán)訪問漏洞
越權(quán)訪問(Broken Access Control,簡稱 BAC)是 Web 應(yīng)用程序中一種常見的漏洞,由于其存在范圍廣、危害大,被 OWASP 列為 Web 應(yīng)用十大安全隱患的第二名。
該漏洞是指應(yīng)用在檢查授權(quán)時存在紕漏,使得攻擊者在獲得低權(quán)限用戶賬戶后,利用一些方式繞過權(quán)限檢查,訪問或者操作其他用戶或者更高權(quán)限。越權(quán)漏洞的成因主要是因?yàn)殚_發(fā)人員在對數(shù)據(jù)進(jìn)行增、刪、改、查詢時對客戶端請求的數(shù)據(jù)過分相信而遺漏了權(quán)限的判定。越權(quán)訪問漏洞主要分為水平越權(quán)訪問和垂直越權(quán)訪問。
6.水平越權(quán)與垂直越權(quán)
防范措施:
- 前后端同時對用戶輸入信息進(jìn)行校驗(yàn),雙重驗(yàn)證機(jī)制
- 調(diào)用功能前驗(yàn)證用戶是否有權(quán)限調(diào)用相關(guān)功能
- 執(zhí)行關(guān)鍵操作前必須驗(yàn)證用戶身份,驗(yàn)證用戶是否具備操作數(shù)據(jù)的權(quán)限
- 直接對象引用的加密資源 ID,防止攻擊者枚舉 ID,敏感數(shù)據(jù)特殊化處理
- 永遠(yuǎn)不要相信來自用戶的輸入,對于可控參數(shù)進(jìn)行嚴(yán)格的檢查與過濾
7.水平越權(quán)
水平越權(quán):水平越權(quán)訪問是一種“基于數(shù)據(jù)的訪問控制”設(shè)計缺陷引起的漏洞。由于服務(wù)器端在接收到請求數(shù)據(jù)進(jìn)行操作時沒有判斷數(shù)據(jù)的所屬人/所屬部門而導(dǎo)致的越權(quán)數(shù)據(jù)訪問漏洞。
假設(shè)用戶 A 和用戶 B 屬于同一角色,擁有相同的權(quán)限等級,他們能獲取自己的私有數(shù)據(jù)(數(shù)據(jù) A 和數(shù)據(jù) B),但如果系統(tǒng)只驗(yàn)證了能訪問數(shù)據(jù)的角色,而沒有對數(shù)據(jù)做細(xì)分或者校驗(yàn),導(dǎo)致用戶 A 能訪問到用戶 B 的數(shù)據(jù)(數(shù)據(jù) B),那么用戶 A 訪問數(shù)據(jù) B 的這種行為就叫做水平越權(quán)訪問。
8.垂直越權(quán)
垂直越權(quán)是一種“基于 URL 的訪問控制”設(shè)計缺陷引起的漏洞,又叫做權(quán)限提升攻擊。
由于后臺應(yīng)用沒有做權(quán)限控制,或僅僅在菜單、按鈕上做了權(quán)限控制,導(dǎo)致惡意用戶只要猜測其他管理頁面的 URL 或者敏感的參數(shù)信息,就可以訪問或控制其他角色擁有的數(shù)據(jù)或頁面,達(dá)到權(quán)限提升的目的。
??????本人水平有限,如有紕漏,歡迎各位大佬評論批評指正!😄😄😄
💘💘💘如果覺得這篇文對你有幫助的話,也請給個點(diǎn)贊、收藏下吧,非常感謝!👍 👍 👍
🔥🔥🔥Stay Hungry Stay Foolish 道阻且長,行則將至,讓我們一起加油吧!🌙🌙🌙
總結(jié)
以上是生活随笔為你收集整理的【檀越剑指大厂--网络安全】网络安全学习的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: IT外包:中国跃跃欲试,准备一鸣惊人——
- 下一篇: GitHub星数1.3W!五分钟带你搞定