攻擊
在 Web 安全中,攻擊是指攻擊者用來達成其目標的特定方法。例如,如果其目標是竊取使用者的資料,那麼跨站指令碼攻擊 (XSS) 就是他們可能使用的一種方法。任何給定的攻擊都可以透過一種或多種緩解措施來應對:例如,XSS 可以透過正確地清理資料並實施 內容安全策略 來應對。
此頁面連結到解釋一些常見攻擊的原理以及如何緩解它們的頁面。
- 點選劫持
-
在點選劫持攻擊中,攻擊者建立一個偽造的網站,該網站將目標網站嵌入到
<iframe>元素中。它會隱藏<iframe>,並在其上方覆蓋一些偽造的元素。當用戶與這些偽造的元素互動時,他們會在無意中與目標網站進行互動,並可能被誘騙在目標網站上執行他們不打算執行的操作。 - 跨站請求偽造 (CSRF)
-
在跨站請求偽造 (CSRF) 攻擊中,攻擊者會誘騙使用者或瀏覽器從惡意網站向目標網站傳送 HTTP 請求。該請求包含使用者的憑據,並導致伺服器執行某些有害操作,而伺服器卻認為使用者是故意為之。
- 跨站洩露 (XS-Leaks)
-
跨站洩漏 (XS-Leaks) 是一類攻擊,攻擊者可以透過使用允許網站相互互動的 Web 平臺 API,從其網站中獲取有關目標網站或使用者與目標網站關係的資訊。
- 跨站指令碼 (XSS)
-
在跨站指令碼攻擊 (XSS) 中,網站會接受攻擊者精心構造的輸入,並錯誤地將其包含在網站自己的頁面中,從而導致瀏覽器將其作為程式碼執行。然後,惡意程式碼就可以執行網站自己的前端程式碼可以做的任何事情。
- 不安全直接物件引用 (IDOR)
-
在不安全的直接物件引用 (IDOR) 攻擊中,攻擊者利用不足的訪問控制和不安全的aught物件識別符號暴露,例如資料庫金鑰或檔案路徑。
- 中間人攻擊 (MITM)
-
在中間人攻擊 (MITM) 中,攻擊者將自己插入到使用者瀏覽器和伺服器之間,並可以看到並可能修改透過 HTTP 交換的所有流量。
- 網路釣魚
-
網路釣魚是一種 社會工程學 攻擊,攻擊者透過誘騙使用者相信他們正在登入目標網站,但實際上他們正在與攻擊者控制的虛假網站進行互動,從而竊取使用者的 憑據。
- 原型汙染
-
JavaScript 原型汙染是一種漏洞,攻擊者可以向物件原型新增或修改屬性。這意味著惡意值可能會意外地出現在應用程式的物件中,通常會導致邏輯錯誤或導致其他攻擊,例如 跨站指令碼攻擊 (XSS)。
- 伺服器端請求偽造 (SSRF)
-
伺服器端請求偽造 (SSRF) 是一種漏洞,它允許攻擊者向任意目標發起 HTTP(或其他網路)請求。SSRF 使這些請求源自伺服器內部,而伺服器通常比外部客戶端擁有更廣泛的訪問許可權。
- 子域劫持
-
在子域接管攻擊中,攻擊者會獲得對目標域的某個子域的控制權。
- 供應鏈攻擊
-
在供應鏈攻擊中,攻擊者會破壞網站供應鏈的一部分,例如它使用的任何第三方依賴項。