首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  程序员

有哪些不大寻常的应用层攻击方式啊?

  •  
  •   lookas2001 · 193 天前 · 2479 次点击
    这是一个创建于 193 天前的主题,其中的信息可能已经有所发展或是发生改变。

    SQL 注入、XSS、CSRF 之类的是一些老生常谈的内容了。

    最近了解到一种叫做慢速攻击的东西,感觉很神奇。

    想了解更多的攻击方式,丰富自己的见识,好在写代码的时候绕开这些坑。

    或者说有什么安全方面的原则(如,永远不相信用户的输入),可以让自己的代码更加具有防御性呢?

    19 回复  |  直到 2019-05-05 01:15:52 +08:00
        1
    also24   193 天前 via Android
    这个所谓的慢速攻击,本质上还是 CC 吧
        2
    mayx   193 天前 via Android
    慢速攻击是传输层的吧?我感觉。。
        3
    changwei   193 天前 via Android   ♥ 1
    边信道攻击。利用其他信道将敏感数据传递出去。
    可以看看这个 https://xz.aliyun.com/t/2369

    通过 css 渲染时间来获取和传递信息,通过 cpu 风扇转速产生不同频率的噪音传递信息,甚至通过键盘上的灰尘判断密码包含哪些字符,这时候灰尘也间接传递出了敏感信息,本质上都是边信道攻击的不同变种形式。
        4
    bestkayle   193 天前 via iPhone
    时序攻击
        5
    Archeb   193 天前
    @mayx 楼主说的大概是慢连接,这种攻击有应用层的也有传输层的...
        6
    wangkai0351   193 天前
    @changwei 我还见过以色列某公司听键盘声音猜 Windows 登录密码的。
        7
    letitbesqzr   193 天前   ♥ 1
    最近比较感兴趣的:
    https://www.freebuf.com/articles/network/124422.html 浅析 ReDoS 的原理与实践

    研究了一下,java 里很多工具类内置的正则都存在这问题。
        8
    metrxqin   193 天前
    @changwei 你确定不叫「侧信道攻击」?
        9
    hakono   193 天前
    @metrxqin
    @changwei
    内啥,这玩意的一般叫法是“旁路攻击”………………
        10
    junjieyuanxiling   193 天前 via Android
    @changwei
    @metrxqin
    @hakono 别说了,三种叫法都对……
        11
    shansing   193 天前   ♥ 1
    楼主列的内容感觉都是 Web 方面的,可以看《白帽子谈 Web 安全》。有说安全原则,还有一些比较奇特的攻击,像点击劫持什么的。
        12
    cpdyj0   193 天前
    比如说,你应用逻辑本身就有问题呢,被人钻了空子,这种算不算。
        13
    blless   193 天前 via Android
    我上次看过一篇文章说因为大部分语言的字符串比较是遍历匹配,所以可以通过计算返回密码错误的时间算出密码
        14
    metrxqin   193 天前
    @blless 这个应该算是时序攻击。
        15
    blless   193 天前 via Android
    哦对了,还有早期的时候验证码机制刚出来的时候,不对验证码验证次数判断,可以直接暴力请求到匹配的验证码重置密码
        16
    lookas2001   193 天前 via Android
    @cpdyj0 嘛,也可以说来听听的,开这个帖子的目的就是为了找可能出现的 bug 嘛
        17
    cpdyj0   193 天前
    @lookas2001 算了,那种应该产品背锅。
        18
    cpdyj0   193 天前
    @blless 还见过虽然有验证码,但是把验证码简单“加密”下就放到了 URL 里,防君子不防小人系列。
        19
    jinliming2   192 天前 via iPhone   ♥ 1
    @cpdyj0 换句话说,防正常用户不防攻击者
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   2648 人在线   最高记录 5043   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 24ms · UTC 13:06 · PVG 21:06 · LAX 05:06 · JFK 08:06
    ♥ Do have faith in what you're doing.