精华内容
下载资源
问答
  • 网络安全:常见攻击手段及防御

    千次阅读 2019-07-19 17:42:48
    随着互联网的发展,网络安全日益显的尤为重要,接下来介绍一下常见的web攻击手段。 1.XSS攻击(Cross Site Scripting) 全称跨站脚本攻击 是一种常见攻击手段之一,攻击者主要通过嵌入恶意脚本程序,当用户打开...

    随着互联网的发展,网络安全日益显的尤为重要,接下来介绍一下常见的web攻击手段。

    1.XSS攻击(Cross Site Scripting) 全称跨站脚本攻击 

    是一种常见的攻击手段之一,攻击者主要通过嵌入恶意脚本程序,当用户打开网页时,脚本程序便在客户端的浏览器中执行,以盗取客户端cookie,用户名密码,下载执行病毒木马程序等。

    例:某网站页面有个表单,表单名称为nick,用来向服务器提交昵称信息。value值是用户输入的昵称,比如你吃菜我喝汤,这是正常输入情况,如下:

    <input type="text" name="nick" value="你吃菜我喝汤">

    可是当用户输入的不是正常的字符串,而是脚本程序 如

    "/><script>alert("你是煞笔")</script><!-"

    这个表单就变成了:

    <input type="text" name="nick" value=" "/><script>alert("你是煞笔")</script><!-" ">

    这个时候input后面是不是多了一个script脚本程序,这个脚本程序弹出一个消息框,内容是"你是煞笔",当然这个示例的危害并不大,攻击的危害大小取决于用户植入的脚本。

    防御手段:

         分析:XSS之所以能够发生,通过上诉示例中可以看出,用户通过输入代码完成攻击。以html为例,里面包含了大量的”尖括号“,”单引号“,”引号“之类的特殊字符。

       方案:通过上诉分析,我们可以对用户输入的数据进行html转译处理来进行防御。

    <&lt;
    >&gt;
    '&amp;
    "&quot;

                                                                                         HTML字符转译

    如今又很多框架自身提供了转译功能,比如jstl,不需要开发人员进行二次开发

    例:使用jstl转译

    <c:out  value="${nick}"  escapeXml="true"></c:out>

    只需要将escapeXml设置为true 就可以将变量nick的值进行转译输出。

    2.CSRF攻击(Cross  Site Request forgery) 全称跨站请求伪造

    攻击者盗用你在某网站的身份如cookie,以你的名义向该网站发送恶意请求。这个就比较可怕了,能够利用你的身份发邮件,发短信,甚至转账,盗取账号等。

    原理图:

    首先用户C访问站点A,然后通过信息验证完成登陆,此时产生cookie值保存在浏览器中,然后用户C在没有退出该网站的情况下,无意中访问了恶意的站点B,此时站点B的某个页面带着站点A的cookie 向站点A 发恶意请求,站点A根据请求所带的cookie,判断此请求为用户发送的,因此处理请求  从而完成欺骗。

    用户C只需做两件事,CSRF攻击就发生了。

    1.登陆某个网站没有退出。

    2.   在没有退出的情况下(退出时,session会话结束cookie失效) 访问了其他的网站(恶意网站)

    有时候所谓的恶意网站,很可能是一个有XSS漏洞的网站

    防御手段:

    (1)将cookie设置为HttpOnly

    CSRF攻击很大程度上是利用浏览器的cookie,为了防止站内的XSS漏洞盗取cookie,需要在cookie中设置"HttpOnly"属性,这样就无法读取到cookie,避免了攻击者伪造cookie的情况出现。

    在java的servlet的API中设置的代码如下:

    response.setHeader("Set_Cookie","cookiename=cookievalue;HttpOnly");

    (2)增加token

    攻击者通过盗取cookie来完成安全验证,如果在请求中放入攻击者不能伪造的信息,该信息不在cookie中。

    因此可以在htpp请求中加入参数token,并在服务端(可在拦截器中校验:session中的token与请求中的token是否一致)校验token,如果token不存在或者存在但不正确,则拒绝请求。

    页面:

    假设请求通过post方式提交,则可以在相应的表单中增加一个隐藏域:

    <input type="hidden" name="_token" value=""/>

    服务端:

    token值在服务端生成,每次会话可以使用相同的token,会话过期token失效,攻击者无法获取token,也就无法伪造请求。

    在session中添加token:

    HttpSession session = request.getSession();
    Object token = session.getAttribute("_token");
    if(token==null || "".equals(token)){
       session.setAttribute("_tonken",UUID.randomUUID().toString());
    }
    

    (3)通过Referer识别

    Http协议中,http头部有一个字段Referer,它记录了http请求的地址。CSRF通过其他网站发送伪造请求进行攻击,因此 可以通过校验该地址是否是该网站发出即可。

    获取Http请求Referer:

    String referer = request.getHeader("Referer");

     

    展开全文
  • DDos常见攻击手段介绍

    千次阅读 2016-12-08 22:19:09
    DDoS攻击就是攻击者发起的一个尝试,目的是耗尽可用于网络、应用程序或服务的资源,以致于真正的用户无法访问这些资源。...这些形式包括洪水攻击和更加尖端的应用层攻击手段/工具。洪水攻击依赖大量流量/会话来耗尽...

    DDoS攻击就是攻击者发起的一个尝试,目的是耗尽可用于网络、应用程序或服务的资源,以致于真正的用户无法访问这些资源。它是由一组恶意软件感染的计算机或自愿的客户端计算机产生的攻击,这些计算机企图耗尽特定的网络、网站或服务的资源。不过,并非所有DDoS攻击均按照相同的方式来操作。

    DDoS攻击可分为多种不同的形式。这些形式包括洪水攻击和更加尖端的应用层攻击手段/工具。洪水攻击依赖大量流量/会话来耗尽一个目标,例如TCP SYN、ICMP和UDP洪水;尖端的应用层攻击手段/工具包括Slowloris、KillApache等。

    DDoS攻击可分为大流量攻击、TCP状态耗尽攻击或应用层攻击。在2011年第2季度出版的Kapersky的DDoS攻击报告中,HTTP洪水攻击是最常见的DDoS手段,它就是应用层攻击的一个实例。应用层攻击占据主导地位反映了快速演变的DDoS已脱离传统的大流量攻击方向。

    二、大流量攻击大流量攻击通过海量流量使得网络的带宽和基础设施达到饱和,将其消耗殆尽,从而实现淹没网络的目的。一旦流量超过网络的容量,或网络与互联网其他部分的连接能力,网络将无法访问,如上图所示。大流量攻击实例包括ICMP、碎片和UDP洪水。

    三、TCP状态耗尽攻击TCP状态耗尽攻击试图消耗许多基础设施组件(例如负载均衡器、防火墙和应用服务器本身)中存在的连接状态表。例如,防火墙必须分析每个数据包来确定数据包是离散连接,现有连接的存续,还是现有连接的完结。同样,入侵防御系统必须跟踪状态以实施基于签名的数据包检测和有状态的协议分析。这些设备和其他有状态的设备—包括负责均衡器—被会话洪水或连接攻击频繁攻陷。例如,Sockstress攻击可通过打开套接字来填充连接表以便快速淹没防火墙的状态表。

    四、应用层攻击应用层攻击使用更加尖端的机制来实现黑客的目标。应用层攻击并非使用流量或会话来淹没网络,它针对特定的应用/服务缓慢地耗尽应用层上的资源。应用层攻击在低流量速率下十分有效,从协议角度看,攻击中涉及的流量可能是合法的。这使得应用层攻击比其他类型的DDoS攻击更加难以检测。HTTP洪水、DNS词典、Slowloris等都是应用层攻击的实例。

    展开全文
  • 【无线安全实践入门】基础攻击手段与常用工具简介 1.网络扫描 2.破解wifi密码 3.针对漏洞的攻击手段 4.泛洪攻击 5.DoS攻击 6.Cookie窃取 7.Session劫持 8.1.SSH攻击 8.2.DNS劫持/污染 等
    本文希望可以帮助到想要学习接触此方面、或兴趣使然的你,让你有个大概的印象.
    文中可能存在错误操作或错误理解,望大家不吝指正.

    !阅前须知!
    本文是基于我几年前的一本笔记本,上面记录了我学习网络基础时的部分笔记
    本文中的工具可能已经过时,或者使用方法已经改变了,感兴趣可以深入查阅资料.

    ps.若对ARP欺骗WiFi破解感兴趣可以参考以下两篇文章
    【无线安全实践入门】网络扫描和ARP欺骗
    【无线安全实践入门】破解WiFi密码的多个方法


    ps.本文环境在Kali下,学习最好具备一点linux基础知识.

    1.网络扫描

    网络扫描算是情报搜集的阶段之一

    nmap等工具,是可以轻易的获取到局域网中用户的基本信息
    可以为后续的进一步动作做准备

    不仅仅是对其他人的情报搜集

    Wireshark等抓包工具,其实可以反过来观察自己本机的流量
    比如像ARP欺骗等攻击,会在网络中大量发送ARP请求等,
    Wireshark有助于你针对其进行了解、或更进一步的动作等


    2.破解wifi密码

    由于wifi现如今的应用非常广泛,所以破解手段有层出不穷

    1.暴力破解

    所谓暴力破解,就是CPU结合字典的战斗,穷举.
    Aircrack-ng算是wifi破解中常出现的工具之一
    无论是后面的PIN码破解还是社工破解,都是需要Aircrack-ng的帮助的
    其本身也具备破解wifi的本领


    2.PIN码破解

    PIN码其实就是可以快速连接上wifi的识别码(PIN码可以更改).
    reaver就是一款针对PIN码的破解工具,不过也是需要穷举的
    这种方法我不常用,所以了解的比较少


    3.社工破解

    社工就是社会工程学,这种方法与穷举法思路不同,是针对’人’来进行的破解攻击.
    Fluxion是一个很不错的破解工具,Fluxion的运行需要许多其他工具的帮助
    好处就是,不需要消耗过多的资源,只需要等待目标wifi使用者自行输入密码即可
    不过若是目标wifi主人几个月不回家,那就没办法了,哈哈


    3.针对漏洞的攻击手段

    是可以利用漏洞,对目标主机进行一系列动作的攻击手段
    此攻击手段对比其他攻击来说,它是需要PC端或者移动端的漏洞.
    当然,它的攻击结果也是非常理想的.

    Metasploit就是一个漏洞框架.
    全称叫做The Metasploit Framework,简称叫做MSF.
    Metasploit不仅仅是拥有方便性和强大性,更重要的是它的框架.
    它允许使用者开发自己的漏洞脚本,从而进行测试.

    常用Modules如Exploits(漏洞利用)、Payloads(漏洞利用后的操作)等
    进入目标主机之后,可以进行:
    ‘桌面截图’、’网络操作’、’进程操作’、’文件管理’、’键鼠记录’、’音频记录’、’摄像头获取’等操作


    4.泛洪攻击

    其实’泛洪’攻击有多种分类,基本都是致使目标机器资源消耗巨大,或影响正常功能执行.

    常用的就是MDK3工具了
    这种攻击优势就在于,它不需要破解wifi密码,就可以影响其正常工作
    先使用Aircrack-ng工具找到目标主机,并观察其信息
    MDK3的使用方法很简单,就可以轻松攻击目标wifi了
    不过!注意!,这种方法可能会对周围其它无关的wifi信号造成干扰


    5.DoS攻击

    近几年的DDoS攻击新闻,大家应该早就耳熟能详了吧
    DoS攻击就是拒绝服务攻击,其攻击目的简单明了,就是使得目标网络无法提供正常的服务或资源访问

    常用的工具有Hping3
    !注意!,这种方法可能会导致本机资源消耗过高,慎重使用.


    6.Cookie窃取

    Cookie是网站为了辨别用户身份,进行Session跟踪而储存在用户本地终端上的数据(通常经过加密)
    也正是利用了这点,使得可以窃取用户端Cookie来进行操作

    对于Cookie的窃取来说,我觉得经验比方法重要

    先使用Ettercap等工具进行ARP欺骗,进而使用Sniff等工具嗅探抓包
    使用Wireshark分析包(先过滤所抓的包,因为只查看cookie的包就行了)
    从包中找到记录Cookie的包并且复制bytes(去看看网上大神的经验吧)
    使用Cookie管家等浏览器插件,即可登录目标的网站用户


    7.Session劫持

    关于Session与Cookie的概念区别,网上有让你更满意的答案.

    Session劫持,包括ARP欺骗、重放流量等操作

    需要设置浏览器代理,或者不使用代理使用CookieCadger.jar(需要配置java运行环境)
    方法也是先使用Ettercap等工具进行ARP欺骗
    配合ferrethamster工具的使用,就可以取代会话了


    8.常见其他攻击方式

    8.1.SSH攻击

    针对SSH的破解攻击,常用的场景就是在连接linux的时候使用
    使用hydra等工具,配合字典的使用,可以达到目的

    8.2.DNS劫持/污染

    也叫域名劫持,就是拦截目标主机域名解析的请求,使其访问假的网站或者失去请求
    需要配置Ettercap的etter.conf文件和etter.dns文件
    以及配置apache服务器的配置文件,并开启服务器
    再使用Ettercap等工具进行ARP欺骗目标主机即可

    8.3.还有很多

    科技正在迅速发展,云计算、人工智能等市场十分火热
    但是,‘安全’永远是一个不能被人忽视的话题,或者说,‘安全’永远不可能被市场淘汰



    加油,共勉

    展开全文
  • 我们基本都能认识到黑客的危险性,但依然有为数众多的网络用户认为,黑客距离...为了避免黑客攻击可能遭受的损失,防患于未然最关键,邮邮为您总结了黑客的几种攻击手段,知己知彼方能有备无患。1、种植病毒病毒程序...

    我们基本都能认识到黑客的危险性,但依然有为数众多的网络用户认为,黑客距离自己很遥远,没必要专门攻击自己这样的普通人,这种观念是错误的。

    网络中的黑客就像现实生活中的小偷、强盗一样,多数作案基本都是随机的。可以说,在网络世界里,每个人、每个企业都面临着信息安全、资金安全的威胁。

    为了避免黑客攻击可能遭受的损失,防患于未然最关键,邮邮为您总结了黑客的几种攻击手段,知己知彼方能有备无患。

    1、种植病毒

    病毒程序具有潜伏性,会对个人信息安全造成长期影响。以前,病毒主要常见于电脑,现在随着手机普及,移动设备上的病毒也很多。

    病毒并不会主动攻击个人设备,往往是潜藏在网页、软件中,用户进行点击、安装等操作后被植入,只要设备联网,病毒程序就会自动将搜集来的信息上报给黑客。

    病毒也在更新换代,很多高级病毒是普通软件难以查杀的,甚至还有病毒就藏在正规杀毒软件里,令你防不胜防。

    2、僵尸网络

    僵尸网络也是一种病毒感染方式,不同于传统种植病毒的一对一形式,僵尸网络是一对多,感染僵尸病毒的设备也会成为“僵尸”,继而感染更多设备。

    僵尸网络一旦成功发起,往往会形成势不可挡的大规模网络攻击,美国断网事件和近期的僵尸网络挖矿事件都是利用僵尸网络造成的。

    这种攻击方式对企业的危害尤其严重,因为企业内网里但凡有一部电脑中招,其他电脑即便不采取操作,也将纷纷沦陷,使企业运行陷入瘫痪。

    3、系统漏洞

    漏洞听起来很可怕,实际它对于软件及操作系统而言是十分稀松平常的事情,并不存在绝对完美的软件或系统,所以漏洞是普遍存在的,一旦漏洞被黑客利用,结果就比较糟糕。

    前阵子英特尔芯片曝出漏洞,尽管这个漏洞对黑客技术的要求十分苛刻,但其优先级最高的威力也吸引了大量黑客一试身手。

    AV-TEST公司调查发现,已检测到119种和该漏洞有关的恶意软件样本,这对于尚未修复漏洞的用户显然是个极坏的消息。

    4、邮件攻击

    邮件攻击几乎是网络中最常见、最普遍的攻击方式,几乎任何一个有邮箱的人都收到过垃圾邮件,而垃圾邮件中就潜藏着病毒、欺诈等各种邮件风险。

    邮件攻击也是黑客针对企业发起攻击的主要形式,一些黑客会偷取登录密码,冒充管理员,欺骗网内其他用户;一些黑客利用企业升级防火墙的机会趁机植入非法软件;更常见的是冒充企业高管或财务,发送要求转账的邮件。

    邮箱安全得不到保证,这些攻击手段就会层出不穷,不但危及企业资产,也会令邮箱中存储的机密信息遭到泄露。

    邮箱入侵诈骗多发:企业被骗转账734万

    随着网络安全意识到提高,金融机构、机关单位及许多大型企业已经启用加密邮箱,商务密邮加密邮箱在原有企业邮箱的基础上增添一层可靠的加密保障,有效减少邮件篡改、窃听等邮箱攻击事件发生,令企业数据更安全。

    转自商务密邮

    展开全文
  • 常见网络攻击手段原理分析.doc 常见网络攻击手段原理分析.doc
  • 常见网络攻击手段原理分析.ppt
  • 常见网络攻击手段分析及防御原理,讲述了常见的网络攻击手段原理,防御原理。
  • 常见的Web攻击手段-整理

    万次阅读 2019-02-28 23:27:32
    整理常见的Web攻击手段: XSS攻击 CSRF攻击 SQL注入攻击 文件上传漏洞 DDoS攻击 其他攻击手段
  • 描述各种常见的网络攻击手段,以及攻击原理。
  • 常见网络攻击手段原理分析

    万次阅读 2014-05-15 16:51:02
    常见网络攻击手段原理分析
  • 网络安全不容忽视,整理常见的Web网站攻击手段如下: XSS攻击 CSRF攻击 SQL注入攻击 文件上传漏洞 DDoS攻击 其他攻击手段 一、XSS攻击 XSS(Cross Site Scripting)跨站脚本攻击,为了不与层叠样式表(CSS)...
  • Linux安全问题以一张思维导图以概之
  • 常见十大web攻击手段

    千次阅读 2014-11-17 15:02:37
    常见针对 Web 应用攻击的十大手段 目前常用的针对应用漏洞的攻击...十大攻击手段 应用威胁 负面影响 后果 跨网站脚本攻击 标识盗窃,敏感数据丢失… 黑客可以模拟合法用户,控制其帐户。
  • 常见攻击手段——DDOS,CC攻击

    千次阅读 2019-07-25 11:34:23
    DDoS即分布式拒绝服务攻击 要理解DDos,得先从DoS说起。最基本的DoS攻击就是利用合理的客户端请求来占用过多的服务器资源,从而使合法用户无法得到服务器的响应。 DDoS的原理就非常简单了,它指的是攻击者借助公共...
  • 利用交换机漏洞的常见三种攻击手段:生成树攻击\MAC表洪水攻击\ARP攻击
  • 常见的DDos攻击手段

    千次阅读 2016-06-05 12:28:04
    常见的DDos攻击手段  DDos攻击现在有比较多的方式,如SYN Flood,DNS query, ICMP Flood, UDP Flood等。    1. SYN Flood  这要从操作系统的TCP/IP协议栈的实现说起。当开放了一个TCP端口后,该...
  • 总结几种常见web攻击手段及其防御方式 本文简单介绍几种常见攻击手段及其防御方式 XSS(跨站脚本攻击) CSRF(跨站请求伪造) SQL注入 DDOS web安全系列目录 总结几种常见web攻击手段极其防御...
  • 常见的web攻击手段

    千次阅读 2019-05-20 11:02:40
    整理自网上关于web攻击的热门文章。 (一)跨站脚本攻击 跨站脚本攻击(Cross-Site Scripting,XSS)是指通过存在安全漏洞的web网站注册用户的浏览器内运行非法的HTML标签或JavaScript脚本的一种攻击攻击者编写...
  • 随着Internet 的发展, 高信息技术像一把双刃剑, 带给我们无限益处的同时也带给网络更大的风险。网 络安全已成为重中之重, 攻击者无处不在。...管理人员应该对攻击手段有一个全面深刻的认识, 制 订完善安全防护策略。
  • 常见网络攻击手段

    千次阅读 2009-04-06 15:43:00
    1.OOB攻击 这是利用NETBIOS中一个OOB (Out of Band)的漏洞而来进行的,它的原理是通过TCP/IP协议传递一个数据包到计算机某个开放的端口上(一般是137、138和139),n;PR5=v]y]当计算机收到这个数据包之后就会...
  • 对于常见的web攻击手段主要有XSS、CRSF、SQL注入等。下面本文将介绍常见攻击手段极其防护方法。 1.XSS XSS攻击全称为夸张脚本攻击,是web应用中常见攻击手段。XSS攻击是指攻击者在网页中嵌入恶意脚本程序,当...
  • 常见的黑客攻击手段 常见攻击手段有:ARP攻击,DoS攻击,DDoS攻击,SYN攻击,缓冲区溢出攻击,等等。下面我将对这几种攻击做个介绍。 1 ARP攻击 ARP(Address Resolution Protocol)是地址解析协议,是一种利用网络...
  • 常见网络攻击手段及原理分析

    万次阅读 多人点赞 2018-07-04 17:28:17
    TCP SYN拒绝服务攻击 我们知道,一般情况下,一个TCP连接的建立需要经过三次握手的过程,即: 1、 建立发起者向目标计算机发送一个TCP SYN报文; 2、目标计算机收到这个SYN报文后,在内存中创建TCP连接控制块...
  • 常见WEB攻击手段 - XSS (跨站脚本攻击) - DDos 分布式拒绝服务,【发送大量请求,使服务器瘫痪】 - CSRF 跨站请求伪造 【用户本地存储cookie,攻击者利用用户的cookie进行认证,然后伪造用户发出请求】 SQL...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 33,781
精华内容 13,512
关键字:

常见的攻击手段