一提到骇客,不管你是联想到 1995 年的 Hackers 电影 或是 骇客组织 Anonymous,至少你已经知道网站安全是很复杂的一件事,光是 2013 年, Facebook , adobe , New York Times 等等网站,就遭到骇客无情的攻击,影响世界上数以万计的用户。
「骇客」这个名词常常出现在新闻、报纸上,但是你知道骇客代表什么意思吗? 这篇文章会介绍 六种常见的网路骇客攻击方式。
程式攻击
程式漏洞攻击,就是利用网站现有的漏洞,输入有害的文字或程式码,直接偷取各种网站资讯。
SQL Injection
SQL Injection 中文又可以称为, SQL 注入攻击,骇客针对有此漏洞网站,透过网站的输入栏位,上传恶意的 SQL 代码,使得 SQL 执行时发生管理员未预见的结果,而将资料库的内容撷取出来。
2012 年,网路安全公司 Imperva 研究发现,一家公司平均每个月会遭到四次 SQL Injection 攻击,而且零售业会比其它行业多遭受两倍以上的攻击。
XSS 攻击
XSS 全名是 Cross Site Scripting ,中文又可以称为「跨站脚本攻击」,这种攻击方式也是利用恶意的程式代码,将这些代码输入至网页内容,常用的程式语言是 Javascript ,过去常发生在留言版,讨论区等等功能,当 End-user 点击带有恶意代码的进结, Browser 将被导到骇客指定的网页,并且在 Browser 中执行有害的程式,藉此窃取用户密码或个人隐私。
研究发现,每 10 个网站里面至少有 7 个网站有 XSS 漏洞。
DDoS 攻击
DDoS 全名是 Distributed Denial of Service Attack ,当网站遭到 DDoS 攻击,这个网站就会停止他的服务,所以的用户将无法接收到网站的任何讯息,也就是 End-user 被网站给拒绝了(Denial ),最简单的 DDoS 攻击,就是骇客短时间内传送大量的网路封包,堵塞网站的流量,当封包超过网站的负载量,这个网站将无法再工作而停止服务,这个攻击方式常常被「Anonymous」骇客组织使用。
Fraud 欺骗
Fraud 就是指骇客透过各种手段欺骗用户,使用户执行错误的网页操作,而不小心将个人资料传送给骇客。
Phishing 钓鱼
现代的人,大多已经知道不可以把个人隐私告欣不认识的人,但是你确定是谁正在跟你用通讯网体聊天吗? 若是骇客取得你朋友的帐号,就能直接询问你的个人隐私资料,另外像是传送 Email,facebook message, 等等,也能传送伪造的连结与表单给你填写,一旦分不清真真假假,就很容易受骗上当。
Clickjacking
Clickjacking 是 Click hijacking 这两个字的合并,中文就是「点击劫持」,骇客在一般的网站注册表单中,写入一些特殊 UI 显示的 CSS 语法,只要在注册页中的确认注册按钮点击区块,多新增一颗透明的按钮,因为按钮是看不到的,User 会很自然而然的点击「确认钮」,殊不知点到的是骇客制造的假按钮,不知不觉的就将自已的个人资料传送给骇客。
CSRF
CSRF 全名是 Cross Site Request Forgery Attack ,这也是跨站攻击的一种,你是否常常听到,网路安全人员都会叫别人离开电脑的时候,要记得登出网页,或是银行网站常常限制十分钟内没有操作,就会自动登出这种讨人厌的功能。
假设你已经登入 Yahoo 帐号,而这时你又不小心点击了骇客的连结,进入骇客制作好的网页 A,这页面会要求 Browser 去 Yahoo 取得你的会员资料,因为 Browser 认定你已经登入 Yahoo ,所以不会再被导到登入页面,网页 A 就能轻易的取得你的个人资料。
这里讲的六种方式只是骇客领域的冰山一角,单单一篇文章是无法涵盖所有的骇客攻击方式,研究发现有 40% 的骇客行为是出於网路犯罪, 50% 是一般骇客活动 , 3% 是网路战争, 7% 是网路间谍。
每年有 五亿五千万骇客攻击的受害者,每天超过 一百五十万, 认识骇客行为以及防护你的网站安全可以提供给 User 安全的网路操作经验。
回應 (Leave a comment)