批量注册:
攻击者通过自动化程序,在网站进行批量注册。如果网站没有相应的防御方式,攻击者则会在短时间内囤积大量账号,并从中获利。同时批量注册将使用从灰色渠道获取的用户信息进行注册,致使正常用户注册时用户信息被占用,导致正常用户无法正常使用网站的功能。而要清除批量注册所带来影响需要投入大量人力物力,使网站方苦不堪言。
短信接口:
短信接口攻击包含攻击者恶意消耗网站短信以及短信轰炸。前者通过大量调用网站短信接口,恶意消耗网站的短信资源,造成业务方的经济损失。后者通过程序自动寻找网上的短信接口,对被攻击者批量发送短信,使被攻击者大量接收非自身请求的短信,造成无法正常使用移动运营商业务。短信接口攻击不仅仅会造成平台的经济损失,更会致使平台的口碑下降,甚至短信接口被封。
网络爬虫:
网络爬虫,又被称为网页蜘蛛,网络机器人,是一种按照一定的规则,自动地抓取互联网信息的程序或者脚本。网络爬虫带来的最大危害是网站信息被窃取,攻击者通过爬虫爬取相关网站的用户信息,网站资源,并进行贩卖获利。同时有些同业者通过爬虫技术,爬取同行的信息和资源,制定自己的运营计划和方案,给同业者带来重大的打击。近年来爬虫技术普及,有些黑产提供集成的爬虫工具,无计算机基础的人士都能运用网络爬虫,因此网站要更加注意自身的安全问题。
薅羊毛:
羊毛党利用接码平台、打码平台、代理 IP 等黑灰产服务,整合成自动化注册软件,针对目标网站进行批量注册,囤积大量账号。之后利用所囤积的账号,参与到各种营销活动中,针对各网站的营销规则制定相应薅羊毛的方案,刷取网站给到真实用户的奖励,并将其变现,转化为真实获利。大批羊毛党到网站薅羊毛,造成网站业务方的营销活动的实际效果大幅下降,同时要投入的大量人力物力抵抗攻击者,消除攻击者带来负面影响,造成资金成本的大量浪费。
撞库攻击:
撞库攻击是一种针对数据库的攻击方式,方法是攻击者通过所拥有的数据攻击目标的数据库,攻击者通过收集互联网已泄露的用户名和密码信息,生成对应的数据字典,尝试批量登录其他网站后,得到一系列可以登录的用户。可以简单理解为用户在 A 网站被盗的账户密码来登陆 B 网站,因为很多用户在不同网站使用的是相同的账号密码。因此,想要盗取 A 网站密码,可以通过获取用户在 B 网站的用户账户从而达到目的。
DDos:
DDoS 攻击又叫分布式拒绝服务(Distributed Denial of Service)攻击,指攻击者利用网络上已被攻陷的电脑或其他设备作为肉鸡,向攻击目标发动密集的“接受服务"请求,进而导致攻击目标的网络资源和系统资源被耗尽,无法向正常的请求提供服务的一种攻击类型。而且攻击者在攻击的时候可以对源 IP 进行伪造,这样使得 DDoS 攻击在发生的时候隐蔽性非常好,检测溯源非常困难,因此 DDoS 攻击也成为了一种难以防范的攻击方式。
XSS:
跨站脚本攻击又称为 XSS,用户在浏览网站页面的时候通常会点击网站上的链接,攻击者通过在链接中插入恶意代码,就能轻易够盗取用户信息。攻击者通常会用十六进制将链接编码,以免用户怀疑它的合法性。网站在接收到包含恶意代码的请求之后会产成一个包含恶意代码的页面,而这个页面看起来就像是那个网站应当生成的合法页面一样。用户在浏览这些页面的同时,恶意脚本就会执行,盗取用户的 session 信息。
SQL注入:
网站如果对暴露的接口没有相应的安全措施,攻击者就会通过把 SQL 命令插入到 Web 表单提交或者输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的 SQL 命令。具体来说,它是利用现有应用程序,将恶意 SQL 命令注入到后台数据库引擎执行,它可以通过在 Web 表单中输入恶意 SQL 语句得到一个存在安全漏洞的网站上的数据库数据,而不是按照网站设计者意图去执行 SQL 语句。 比如先前的很多影视网站泄露 VIP 会员密码大多就是通过 WEB 表单递交查询字符暴出的,这类表单特别容易受到 SQL 注入式攻击。
来源:https://www.geetest.com/Threats