[Day5] 和应用程序有关的攻击-例外处理,重播攻击,请求伪造

今天继续更新和应用程序有关的攻击方式。

例外处理

例外处理是指软硬体在执行程序的过程中发生非预期状况的应对处理。若没有处理例外情况的话会提高资源管理风险,或导致系统或服务异常中止。

重播攻击

重播攻击也叫做重放攻击(Replay attack),是攻击者将目标用户对於服务器传送的资料或动作进行拦截後在网路上进行重覆传输。如果服务器端没有做好判断防范的话会让该用户的帐号重复进行相同操作,例如让用户重复进行付款交易,攻击者也可以将拦截到的讯息进行剪贴後攻击、损毁系统。在这篇文章什麽是重放攻击?里提到可以透过时间戳记来判断是否为重放攻击,降低损失。这篇文章同时也详细的说明了重放攻击议题在区块链及加密货币领域里的重要性和防范方式。

请求伪造

请求伪造是一种利用目标用户身分和名义发送恶意请求的攻击手法,分成服务器端请求伪造(Server side request forgeries)及跨站请求伪造(Cross site request forgeries)。这两种攻击方式的差别是,服务器端请求伪造是透过用户端发送伪造请求攻击在内部受保护的目标服务器。这篇Medium文章网站安全? 服务器端请求伪造 SSRF 攻击 — 「项庄舞剑,意在沛公」解释的满详细的,里面用"项庄舞剑意在沛公"做比喻满生动又有故事的说明服务器请求伪造的原理,以及相关的防范做法。
而跨站请求伪造则是攻击者欺骗目标用户的浏览器去存取用户曾经认证过的网站去执行非用户自愿或用户不知情的操作,例如利用用户身分发送邮件讯息、进行有价交易等等。
在这篇文章程序猿必读-防范CSRF跨站请求伪造里详细说明了跨站请求伪造的原理、危害及防范方式。

延伸阅读

(1) 例外处理Wiki
(2) 跨站请求伪造

失败感想

打了一堆结果送出前网路断掉,没存到档要重打、又没来的及在时间内发文。没想到才第五天就要发失败感言,果然事情还是不能拖到最後才开始,还有随时储存草稿也很重要...好难过喔我的完赛奖牌QQQ


<<:  Day06 X 图片最佳化

>>:  Day21 ( 高级 ) 戳泡泡 ( 视讯侦测 )

@Day24 | C# WixToolset + WPF 帅到不行的安装包 [87分帅的设定页面]

原本 在DemoUse.Installer安装档那边有做自订页面的部分还有选择路径的页面, 我想在开...

[第一只羊] 动物园派对桌游设计之迷雾森林

关於迷雾森林故事 序 很久很久以前 在森林的深山林里 有着一群喜欢开趴的动物 就是大家俗称的趴踢 ...

Day12 明明是我(LCOS)先出生的 为什麽大家比较喜欢弟弟妹妹(DLP)

上篇简单介绍DLP技术,今天来介绍LCOS技术。 LCOS技术比DLP技术还要早出现,但在起初技术尚...

Day18 - Interpreting Machines - 1 :什麽是 Interpret ?

还记得我们在 Day 09、Day 10 有 2 个自制版本的 createMacine [Day ...