1. 程式人生 > >幾種黑灰名詞解釋

幾種黑灰名詞解釋

批量註冊:

攻擊者通過自動化程式,在網站進行批量註冊。如果網站沒有相應的防禦方式,攻擊者則會在短時間內囤積大量賬號,並從中獲利。同時批量註冊將使用從灰色渠道獲取的使用者資訊進行註冊,致使正常使用者註冊時使用者資訊被佔用,導致正常使用者無法正常使用網站的功能。而要清除批量註冊所帶來影響需要投入大量人力物力,使網站方苦不堪言。

 

簡訊介面:

簡訊介面攻擊包含攻擊者惡意消耗網站簡訊以及簡訊轟炸。前者通過大量呼叫網站簡訊介面,惡意消耗網站的簡訊資源,造成業務方的經濟損失。後者通過程式自動尋找網上的簡訊介面,對被攻擊者批量傳送簡訊,使被攻擊者大量接收非自身請求的簡訊,造成無法正常使用移動運營商業務。簡訊介面攻擊不僅僅會造成平臺的經濟損失,更會致使平臺的口碑下降,甚至簡訊介面被封。

  

網路爬蟲:

網路爬蟲,又被稱為網頁蜘蛛,網路機器人,是一種按照一定的規則,自動地抓取網際網路資訊的程式或者指令碼。網路爬蟲帶來的最大危害是網站資訊被竊取,攻擊者通過爬蟲爬取相關網站的使用者資訊,網站資源,並進行販賣獲利。同時有些同業者通過爬蟲技術,爬取同行的資訊和資源,制定自己的運營計劃和方案,給同業者帶來重大的打擊。近年來爬蟲技術普及,有些黑產提供整合的爬蟲工具,無計算機基礎的人士都能運用網路爬蟲,因此網站要更加註意自身的安全問題。

 

薅羊毛:

羊毛黨利用接碼平臺、打碼平臺、代理 IP 等黑灰產服務,整合成自動化註冊軟體,針對目標網站進行批量註冊,囤積大量賬號。之後利用所囤積的賬號,參與到各種營銷活動中,針對各網站的營銷規則制定相應薅羊毛的方案,刷取網站給到真實使用者的獎勵,並將其變現,轉化為真實獲利。大批羊毛黨到網站薅羊毛,造成網站業務方的營銷活動的實際效果大幅下降,同時要投入的大量人力物力抵抗攻擊者,消除攻擊者帶來負面影響,造成資金成本的大量浪費。

 

撞庫攻擊:

撞庫攻擊是一種針對資料庫的攻擊方式,方法是攻擊者通過所擁有的資料攻擊目標的資料庫,攻擊者通過收集網際網路已洩露的使用者名稱和密碼資訊,生成對應的資料字典,嘗試批量登入其他網站後,得到一系列可以登入的使用者。可以簡單理解為使用者在 A 網站被盜的賬戶密碼來登陸 B 網站,因為很多使用者在不同網站使用的是相同的賬號密碼。因此,想要盜取 A 網站密碼,可以通過獲取使用者在 B 網站的使用者賬戶從而達到目的。

 

DDos:

DDoS 攻擊又叫分散式拒絕服務(Distributed Denial of Service)攻擊,指攻擊者利用網路上已被攻陷的電腦或其他裝置作為肉雞,向攻擊目標發動密集的“接受服務"請求,進而導致攻擊目標的網路資源和系統資源被耗盡,無法向正常的請求提供服務的一種攻擊型別。而且攻擊者在攻擊的時候可以對源 IP 進行偽造,這樣使得 DDoS 攻擊在發生的時候隱蔽性非常好,檢測溯源非常困難,因此 DDoS 攻擊也成為了一種難以防範的攻擊方式。

 

XSS:

跨站指令碼攻擊又稱為 XSS,使用者在瀏覽網站頁面的時候通常會點選網站上的連結,攻擊者通過在連結中插入惡意程式碼,就能輕易夠盜取使用者資訊。攻擊者通常會用十六進位制將連結編碼,以免使用者懷疑它的合法性。網站在接收到包含惡意程式碼的請求之後會產成一個包含惡意程式碼的頁面,而這個頁面看起來就像是那個網站應當生成的合法頁面一樣。使用者在瀏覽這些頁面的同時,惡意指令碼就會執行,盜取使用者的 session 資訊。

 

SQL注入:

網站如果對暴露的介面沒有相應的安全措施,攻擊者就會通過把 SQL 命令插入到 Web 表單提交或者輸入域名或頁面請求的查詢字串,最終達到欺騙伺服器執行惡意的 SQL 命令。具體來說,它是利用現有應用程式,將惡意 SQL 命令注入到後臺資料庫引擎執行,它可以通過在 Web 表單中輸入惡意 SQL 語句得到一個存在安全漏洞的網站上的資料庫資料,而不是按照網站設計者意圖去執行 SQL 語句。 比如先前的很多影視網站洩露 VIP 會員密碼大多就是通過 WEB 表單遞交查詢字元暴出的,這類表單特別容易受到 SQL 注入式攻擊。

 

來源:https://www.geetest.com/Threats