当前位置：首页 > news >正文

网络安全学习

news 2025/12/31 19:24:04

博客目录

1.Ddos 攻击
2.SYN Flood
3.如何应对 Ddos 攻击
4.Xss 漏洞
5.越权访问漏洞
6.水平越权与垂直越权
7.水平越权
8.垂直越权

1.Ddos 攻击

DDos 全名 Distributed Denial of Service，翻译成中文就是分布式拒绝服务。指的是处于不同位置的多个攻击者同时向一个或数个目标发动攻击，是一种分布的、协同的大规模攻击方式。单一的 DoS 攻击一般是采用一对一方式的，它利用网络协议和操作系统的一些缺陷，采用欺骗和伪装的策略来进行网络攻击，使网站服务器充斥大量要求回复的信息，消耗网络带宽或系统资源，导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务。

2.SYN Flood

SYN Flood 是一种利用 TCP 协议缺陷，发送大量伪造的 TCP 连接请求，从而使得被攻击方资源耗尽（CPU 满负荷或内存不足）的攻击方式。

一次正常的建立 TCP 连接，需要三次握手：客户端发送 SYN 报文，服务端收到请求并返回报文表示接受，客户端也返回确认，完成连接。

SYN Flood 就是用户向服务器发送报文后突然死机或掉线，那么服务器在发出应答报文后就无法收到客户端的确认报文（第三次握手无法完成），这时服务器端一般会重试并等待一段时间后再丢弃这个未完成的连接。

一个用户出现异常导致服务器的一个线程等待一会儿并不是大问题，但恶意攻击者大量模拟这种情况，服务器端为了维护数以万计的半连接而消耗非常多的资源，结果往往是无暇理睬客户的正常请求，甚至崩溃。从正常客户的角度看来，网站失去了响应，无法访问。

3.如何应对 Ddos 攻击

高防服务器
黑名单
DDos 清洗
CDN 加速

CDN 加速，我们可以这么理解：为了减少流氓骚扰，我干脆将火锅店开到了线上，承接外卖服务，这样流氓找不到店在哪里，也耍不来流氓了。

4.Xss 漏洞

定义: XSS 攻击全称跨站脚本攻击，是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆，故将跨站脚本攻击缩写为 XSS，XSS 是一种在 web 应用中的计算机安全漏洞，它允许恶意 web 用户将代码植入到 web 网站里面，供给其它用户访问，当用户访问到有恶意代码的网页就会产生 xss 攻击。

危害:

1、盗取各类用户帐号，如机器登录帐号、用户网银帐号、各类管理员帐号
2、控制企业数据，包括读取、篡改、添加、删除企业敏感数据的能力
3、盗窃企业重要的具有商业价值的资料
4、非法转账
5、强制发送电子邮件
6、网站挂马
7、控制受害者机器向其它网站发起攻击

防御方法:XSS 防御的总体思路是：对输入(和 URL 参数)进行过滤，对输出进行编码。

5.越权访问漏洞

越权访问（Broken Access Control，简称 BAC）是 Web 应用程序中一种常见的漏洞，由于其存在范围广、危害大，被 OWASP 列为 Web 应用十大安全隐患的第二名。

该漏洞是指应用在检查授权时存在纰漏，使得攻击者在获得低权限用户账户后，利用一些方式绕过权限检查，访问或者操作其他用户或者更高权限。越权漏洞的成因主要是因为开发人员在对数据进行增、删、改、查询时对客户端请求的数据过分相信而遗漏了权限的判定。越权访问漏洞主要分为水平越权访问和垂直越权访问。

6.水平越权与垂直越权

防范措施:

前后端同时对用户输入信息进行校验，双重验证机制
调用功能前验证用户是否有权限调用相关功能
执行关键操作前必须验证用户身份，验证用户是否具备操作数据的权限
直接对象引用的加密资源 ID，防止攻击者枚举 ID，敏感数据特殊化处理
永远不要相信来自用户的输入，对于可控参数进行严格的检查与过滤

【檀越剑指大厂--网络安全】网络安全学习_服务器_02

7.水平越权

水平越权:水平越权访问是一种“基于数据的访问控制”设计缺陷引起的漏洞。由于服务器端在接收到请求数据进行操作时没有判断数据的所属人/所属部门而导致的越权数据访问漏洞。

【檀越剑指大厂--网络安全】网络安全学习_web安全_03

假设用户 A 和用户 B 属于同一角色，拥有相同的权限等级，他们能获取自己的私有数据（数据 A 和数据 B），但如果系统只验证了能访问数据的角色，而没有对数据做细分或者校验，导致用户 A 能访问到用户 B 的数据（数据 B），那么用户 A 访问数据 B 的这种行为就叫做水平越权访问。

8.垂直越权

垂直越权是一种“基于 URL 的访问控制”设计缺陷引起的漏洞，又叫做权限提升攻击。

【檀越剑指大厂--网络安全】网络安全学习_数据_04

由于后台应用没有做权限控制，或仅仅在菜单、按钮上做了权限控制，导致恶意用户只要猜测其他管理页面的 URL 或者敏感的参数信息，就可以访问或控制其他角色拥有的数据或页面，达到权限提升的目的。