网站入侵的攻击方法和原理

前言闲话

声明:此文不教大家怎么破解做坏银,而是攻击方法与原理,知己知彼,才能防好自己的密码;

嗨!各位小伙伴们,又到周六了。有人还在加班,有人已经带着GirlFriend逛街去了,今天我依然一个人,因为平常工作没时间写博客,周末写写记录一下,今天主要讲的是网站入侵的攻击方法和原理。

大家也知道,网络时代的高峰即将到来,现在还在发展期,至少在网购方面还不普遍,家电还不太智能,工厂还没全机械化——半瘫痪状态;不久的未来,其实也不需要多长时间,在2020年的世界将与现在大不一样,习大大的五年计划可是拉动中国所有人进小康水平,经济好了,大家才会促进消费,带动市场运营;才会有更多的钱去搞技术;不久后,实体店主都有自己的网店,网购也就成了所有人家常事一样,家电也能像科幻片那样的智能,工厂机械化后有好坏之处,好处是加快了生产量,人工成本降低,商品价格降掉;坏处就是到时不知会有多少工人失业转行。今天不就出了一个新闻:2017年普及百兆宽带;。。上面都是闲话,大家可以无视刷过。让我们迎接未来的网络时代吧!

网站入侵的攻击方法

  1. 暴力破解
  2. SQL注入
  3. 上传漏洞
  4. XSS跨站攻击
  5. Cookie诈骗
  6. Dos攻击

1.暴力破解

  1. 攻击内容:各种登录密码;比如说我们需要登录的地方有FTP 数据库或者用户名 密码框;(这也是为什么现在有不少网站在你登录或注册时,都要输入一个烦人的验证码了,这个验证码是随机生成的图片,平常暴力破解工具无法识别,最主要的还是破解时间太长而且麻烦,所以你下次登录时看到有验证码,不要烦,那是在保护你的账号)
  2. 攻击原理:利用工具反复性的试探攻击;没有技术含量,这就像拿一大串钥匙去开别人的门,试图希望有一把钥匙可以开开,当然,也有攻击成功。这种攻击不需要人在那盯着运行,开启这样的工具,工具就会自动去试密码,而人就可以去睡觉出去玩,不需要关注,也许回来后密码就破解了。这也是为什么网络中密码都提示你输入强一点的密码,全数字密码的为弱;数字加字母为中,数字加大小写字母再加符号,就为强。
  3. 缩小海量级试探次数的方法:这种暴力破解最大的弱点就是花的时间太长,工具要一个一个试密码,因此,有些黑客就想出来些办法:字典档(上面记录了一些现网络中常用的密码);规则破解(就是与你相关的信息,如生日,身份证,地区编号,电话等,有人会说,我生日倒过来写,或打乱来写或是少几位,多加几位数字。但对于工具来说,这一切分分钟搞定你的密码)
  4. 暴力破解常见的攻击方法:
  • 远程通讯法:先确定目标—>建立多线程的Socket通信—>通过字典档或规则生成密码—>发送密码试探
  • 本地文件破解:截取加密后的密码(密文)—>通过字典档或规则生成密码明文—>将密码明文按加密算法加密—>将生成的密文和截取密文对比;(意思就是拿到一个已经经过加密算法后的密码,比如MD5算法,然后黑客再使用工具进行密码生成这些算法,一直到工具生成出来的算法与截取的算法一样为止)
  • 以下发个暴力破解的软件图:这是用了一个加密后的.ZIP压缩包进行破解,

2.SQL注入

攻击原理:在Web表单或查询字符串中输入特殊的SQL命令;实现欺骗服务器或绕过登录验证;他的主要原理还是数据库的一些漏洞,大家都知道,用户的账号密码都是存于数据库中的,知道账号后,只要在密码框中输入一些字符串,就可以在数据库的SQL查询语句中返回true,使得程序判断你是用户本人而打开你的权限使得你能进入。这个我就不在此详细讲了,大家知道SQL注入攻击的原理就好。

3.上传漏洞

原理:利用上传漏洞直接得到webshell,危险级别非常高!!造成这种情况的有:
网站服务器的安全漏洞:
  1. 字符过滤不严格
  2. 文件类型未检测
  3. 上传未加权取

4.XSS跨站攻击

XSS它是XSS—Cross Site Scripting的缩写
攻击原理:说白了就是通过脚本可以跨越网站内部结构或者内部的功能:先不说攻击哪一个网站,而是说现在最流行的钓鱼网站,他们制作成类似你要登录的网站界面,然后让你输入账号密码,最终拿到你的信息。怎么防呢?主要还是少点击有些不正规网站的链接,如图片等,尤其是男生们,别被一些诱惑的图片吸引而点击进去。最终得到你的电脑中的Cookie信息(下面会讲到Cookie是什么)
  • 恶意用户在网页中插入HTML或JS脚本
  • 引诱用户点击或输入用户隐私数据
  • 黑客获取用户账号,Cookie等隐私数据
常用的攻击方式:
  1. JS方式
  2. iframe方式
  3. Ajax方式

5.Cookie诈骗

攻击原理:Cookie是存放在客户端的用户数据;黑客可以通过修改本地的Cookie来冒充管理员或用户;这个也可以用工具去实现Cookie诈骗;

6.Dos攻击

攻击原理:Dos—Denial of service(拒绝服务攻击);这种攻击在以前非常常见,是一种损人不利己的攻击方式;有了解过黑客方面的小伙伴们就听过,肉机等词。。当黑客要攻击一个服务器时,他会先不攻击,而是把木马下到别人的电脑中,比如一个AV诱惑的图片,就有不少的狼生们控制不住好奇的点击进去,最终在后台被莫名的下载了一个程序(木马),当然,这个要看你电脑中安装的杀毒防御软件是否认出他是危险的,若没识别出来,你就中毒了。最终你的电脑成了黑客的肉机;一个被操控的傀儡攻击机。等这样的机子越来越多时,黑客就开始动手了,他会开启种在你电脑中的木马然后控制电脑同一时间不接断对一个服务器发送请教攻击,想一想,若千上万上亿的数据一直发送到一个服务器上,那被攻击的服务器因为经历不了这种压力测试而最终崩溃而瘫痪;这种方式可以让美国的白宫网站都瘫痪,这种攻击非常流氓,但也很实用。当你的电脑成肉机时,就会感觉网络卡,电脑卡。因为你的电脑一直在向一个服务器发送数据,占用电脑的资源和网络,你自然会感觉你电脑莫名好卡好无赖。。

总结

上面只讲一些网站入侵的攻击方法和原理,让经常使用电脑和手机的小伙伴们了解一下网络的一些知识,因为我们主要是开发人员,技术人员,并不是网络管理员而不用太精通网络攻击的事,懂得原理并做一些防御就够了,有兴趣的可以去学学TCP/IP的原理。当然,几年后,你一定会学习这方面的知识,前不久的一个大型的网上售票网站,不就被黑客攻击了吗,应该是使用了第一种方式吧,网站官方说是因为客户的信息在别的网站中被泄漏,最终被黑客拿到这些信息去这个网站上一个一个试过去,最终获得用户账号密码,然后公布在网上。说实在的,我并不崇拜这样的黑客,他们只会利用别人写好的工具去做坏事,而我崇拜的是写这些工具的人。技术才是最重要。而我现在是一个程序员,在网络方面我也有计划以后多学习学习。黑客并不代表一定是做坏事的人,他可以写攻击程序,但也可以写防御程序;亲爱的小伙伴们,切记不要冲动得为了欣荣心而利用攻击工具去盗用他人的信用或伤害他人的电脑。那是犯法的。当然,黑客大神们看到小弟的这博客,可别黑我哦,我可是小白。最后建议小伙伴们,做好基本的防御,比如QQ不接受陌生人的传输文件,比如一个女孩发给你的照片或是压缩包,不要接收。别人发的链接,不要乱点。网站上的信息也不要好奇的乱点击;在自己的电脑中要安装卫士与杀毒软件,偶尔闲时杀杀毒,杀毒软件也要偶尔升升级,杀杀更健康啊。呵呵。此文闲话太多,像和大家聊天一样。周末孤单,话太多了,莫怪莫怪。我会在后面写一些Web开发中的安全编码(我们开发人员针对上面的那些攻击的漏洞修补)和数据加密算法,使用JAVA实现数据加密比如MD5算法等和一些JAAS认证。对了,在我的博客中,有写过一篇HTTPS安全认证技术,有兴趣的小伙伴们可以去看看哦。给自己的项目程序加一把锁——才安全

没有更多推荐了,返回首页