2014
Feb
15





一提到駭客,不管你是聯想到 1995 年的 Hackers 電影 或是 駭客組織 Anonymous,至少你已經知道網站安全是很複雜的一件事,光是 2013 年, Facebook , adobe , New York Times 等等網站,就遭到駭客無情的攻擊,影響世界上數以萬計的用戶。

「駭客」這個名詞常常出現在新聞、報紙上,但是你知道駭客代表什麼意思嗎? 這篇文章會介紹 六種常見的網路駭客攻擊方式。

程式攻擊

程式漏洞攻擊,就是利用網站現有的漏洞,輸入有害的文字或程式碼,直接偷取各種網站資訊。

SQL Injection

SQL Injection 中文又可以稱為, SQL 注入攻擊,駭客針對有此漏洞網站,透過網站的輸入欄位,上傳惡意的 SQL 代碼,使得 SQL 執行時發生管理員未預見的結果,而將資料庫的內容擷取出來。

2012 年,網路安全公司 Imperva 研究發現,一家公司平均每個月會遭到四次 SQL Injection 攻擊,而且零售業會比其它行業多遭受兩倍以上的攻擊。

XSS 攻擊

XSS 全名是 Cross Site Scripting ,中文又可以稱為「跨站腳本攻擊」,這種攻擊方式也是利用惡意的程式代碼,將這些代碼輸入至網頁內容,常用的程式語言是 Javascript ,過去常發生在留言版討論區等等功能,當 End-user 點擊帶有惡意代碼的進結, Browser 將被導到駭客指定的網頁,並且在 Browser 中執行有害的程式,藉此竊取用戶密碼或個人隱私。

研究發現,每 10 個網站裡面至少有 7 個網站有 XSS 漏洞。

DDoS 攻擊

DDoS 全名是 Distributed Denial of Service Attack ,當網站遭到 DDoS 攻擊,這個網站就會停止他的服務,所以的用戶將無法接收到網站的任何訊息,也就是 End-user 被網站給拒絕了(Denial ),最簡單的 DDoS 攻擊,就是駭客短時間內傳送大量的網路封包,堵塞網站的流量,當封包超過網站的負載量,這個網站將無法再工作而停止服務,這個攻擊方式常常被「Anonymous」駭客組織使用。

Fraud 欺騙

Fraud 就是指駭客透過各種手段欺騙用戶,使用戶執行錯誤的網頁操作,而不小心將個人資料傳送給駭客。

Phishing 釣魚

現代的人,大多已經知道不可以把個人隱私告訢不認識的人,但是你確定是誰正在跟你用通訊網體聊天嗎? 若是駭客取得你朋友的帳號,就能直接詢問你的個人隱私資料,另外像是傳送 Email,facebook message, 等等,也能傳送偽造的連結與表單給你填寫,一旦分不清真真假假,就很容易受騙上當。

, Dog is using computer.

Clickjacking

Clickjacking 是 Click hijacking 這兩個字的合併,中文就是「點擊劫持」,駭客在一般的網站註冊表單中,寫入一些特殊 UI 顯示的 CSS 語法,只要在註冊頁中的確認註冊按鈕點擊區塊,多新增一顆透明的按鈕,因為按鈕是看不到的,User 會很自然而然的點擊「確認鈕」,殊不知點到的是駭客製造的假按鈕,不知不覺的就將自已的個人資料傳送給駭客。

CSRF

CSRF 全名是 Cross Site Request Forgery Attack ,這也是跨站攻擊的一種,你是否常常聽到,網路安全人員都會叫別人離開電腦的時候,要記得登出網頁,或是銀行網站常常限制十分鐘內沒有操作,就會自動登出這種討人厭的功能。

假設你已經登入 Yahoo 帳號,而這時你又不小心點擊了駭客的連結,進入駭客製作好的網頁 A,這頁面會要求 Browser 去 Yahoo 取得你的會員資料,因為 Browser 認定你已經登入 Yahoo ,所以不會再被導到登入頁面,網頁 A 就能輕易的取得你的個人資料。



這裡講的六種方式只是駭客領域的冰山一角,單單一篇文章是無法涵蓋所有的駭客攻擊方式,研究發現有 40% 的駭客行為是出於網路犯罪50% 是一般駭客活動3% 是網路戰爭, 7%網路間諜

每年有 五億五千萬駭客攻擊的受害者,每天超過 一百五十萬, 認識駭客行為以及防護你的網站安全可以提供給 User 安全的網路操作經驗。

文章來源


回應 (Leave a comment)