导语

正文

定义

Web安全，顾名思义便是由保障Web应用能够持续安全运行而衍生出的一个分支领域。

Web应用指的是一个网站的前端页面到后端服务，可以粗略的理解为一个网站及其配套的相关服务，该领域中常见的漏洞有SQL注入漏洞，XSS漏洞，CSRF漏洞等等，漏洞种类多样，趣味性强，较为适合新手入门。

下面为你介绍Web安全方面的常见漏洞，以下讲解主要从原理角度出发，旨在帮助新手朋友更好的理解相关漏洞，具体技术细节暂不讨论。

常见漏洞

SQL注入（SQL Injection）

网站，也就是web应用中往往会涉及到数据的查询与修改，对数据进行操作则需要用到SQL语言（结构化查询语言(Structured Query Language)简称SQL，是一种特殊目的的编程语言）。

网站在使用SQL查询数据时，用户输入的信息或提交的参数（比如你在使用百度时输入的“关键词”，登录某些网站时提交的账户密码..）将会参与到SQL数据查询的过程中，一旦用户提交了有害数据，便有可能对网站运行产生危害。

将有害数据“注入”到SQL查询过程之中，这也正是“SQL注入”得名的缘由。

SQL注入漏洞往往会导致数据泄露,例如前些年爆出的沸沸扬扬的”社工库"，”人rou"搜索，全球数十亿密码泄露等事件，他们的背后或多或少有着SQL注入的影子。

SQL注入的定义为：

当Web应用向后台数据库传递SQL语句进行数据库操作时。如果对用户输入的参数没有经过严格的过滤处理，那么攻击者就可以构造特殊的SQL语句，直接输入数据库进行执行，获取或修改数据库中的数据。

XSS跨站脚本攻击（Cross-Site Scripting，XSS）

同样是由于网站对于用户的输入内容没有进行严格的过滤处理，一些恶意的脚本代码被用户的浏览器执行而引发了XSS漏洞。

一个网站的呈现是基于HTML,CSS,JS等脚本语言的，浏览器的作用是什么？简单来说便是将只有计算机才能“读懂”的脚本语言及代码渲染成我们所看到的的图像与文字。

这里以百度为例。

在与架设着网站的服务器通信时，我们实际上收到的是使用HTML等语言编写的源代码，浏览器会将该源代码“翻译”出来。

(浏览器将下方的源代码“翻译”成“百度搜索”的页面)

如果我们能利用网站的某些缺陷，将自行构造的恶意脚本代码‘’注入”到网站源代码之中，在别的用户在浏览网页时，我们构造的恶意代码便会被浏览器“翻译”出来，造成危害（Cookie泄露，键盘记录等），这便形成了XSS漏洞。

CSRF跨站请求伪造（Cross Site Request Forgery）

该漏洞往往不直接攻击网站服务器，而是冒充用户在站内的正常操作以达到攻击目的。我们在与网站进行交互操作时，绝大多数操作是基于浏览器与网站服务器的通信请求的，比如我们会在某些购物网站下商品订单，给指定用户转账，或者查询自己的考试成绩。

如果能够在用户没有察觉的情况下，“悄无声息”通过浏览器伪造一些请求操作，进而产生对用户有害的攻击行为，那么便形成了CSRF漏洞。

上文提到过，XSS漏洞可以在用户不知情的情况下执行恶意操作，如果我们在XSS攻击代码中包含伪造好的特定请求呢？这便与CSRF漏洞不谋而合。所以，XSS与CSRF常相配合使用，威力巨大。

防范CSRF漏洞，需要添加 token 或 referer 来防御，云影安全后续会对此进一步讲解。

DDOS 分布式拒绝攻击(Distributed Denial of Service)

起源于二十世纪九十年代，历经二十多年发展而经久不衰，DDoS攻击已经成为网络安全领域影响最为深远的威胁之一。

严格地来讲，DDOS并不完全归属于Web安全的范畴，凡是对外提供服务的服务器或主机都存在被DDOS攻击的风险，但DDOS攻击在Web领域较为常见且危害大，我们在这里加以讲解。

那么什么是DDOS攻击呢？如果多台主机对目标网站或服务器发送大量请求，超出了该网站或服务器的处理能力上限，导致服务瘫痪，这种行为便可以称作DDOS攻击。

举一个较为经典的例子，假设一个餐厅最多可以同时容纳50人就餐，假设在极短时间内该餐厅涌入成百上千的顾客，该餐厅的正常就餐秩序必然会受到毁灭性的冲击。

DDOS攻击如今已发展出多种攻击模式与手段，目前还没有一个较为完美的应对策略，关键点在于精心发动的DDOS攻击往往会利用合理的服务请求来占用过多的服务资源，难与正常用户的请求相区分，从而使服务器无法处理合法用户的指令。

方法论

孤帆终究要起航，侠客也要去闯荡。在你开始踏上Web安全之路前，我们愿与你分享一些在探索学习中可能会有所帮助的心得与经验。

1.亲手实践

2.构建体系

3.分享交流

点击查看【黑客学习资料·攻略】