怎样当黑客?IT工程师教你体验黑客技术!
在网络世界中,黑客是一个充满神秘感的群体。本期我们邀请到资深前端IT工程师阿鹏老师,为大家揭秘常见的黑客攻击技术,快来和小编一起体验当黑客的滋味!
不过在“化身黑客”之前,我们得先了解什么是黑客,以及黑客背后的故事。
黑客指的是擅长计算机技术、编程技能,熟悉计算机系统的人。
值得一提的是,黑客这一词汇本身并不带有贬义色彩。只有那些出于不正当目的使用黑客技术的人,才是坏人。
最早的黑客起源于20世纪60年代的麻省理工学院(以下简称MIT)。
当时,学校引入了首台PDP-1计算机。然而,在MIT的人工智能实验室里,一些技术人员对那时的计算机操作系统并不满意,于是他们发挥自己的技术才能,自主研发出了著名的Incompatible Time - sharing System(ITS 系统)。
PDP-1计算机|wikipedia
这种专研的精神在MIT不断发展壮大,并借助ARPAnet(互联网的前身)传播至其他大学和研究机构。
期间,技术人员们通过邮件和兴趣小组积极交流,这就是**“黑客”**的雏形。
如今,随着计算机和网络技术的普及,黑客群体出现分化。
他们中的一部分人以**“自由、共享、创新、解决问题”**为核心理念。为企业排查修复系统漏洞,为个人用户提供安全检测与咨询服务,还协助执法部门打击网络犯罪。
但也有一部分人利用技术漏洞,破坏网络秩序。
接下来,就让阿鹏老师向我们介绍一下常见的黑客攻击技术都有哪些。
现在的黑客攻击技术非常多,比如XSS攻击、命令注入、SQL注入等。其中最常见的是XSS攻击,它常常伪装成网页上一个毫不起眼的按钮,或是弹窗形式出现。
XSS攻击,全称为跨站脚本攻击。原理是将“其他脚本代码”插入到正常的网页内容之中,当用户访问了被注入“其他代码”的网页时,这些脚本就会自动运行。
简单来说,网页如同舞台,正常情况下,演员(网页内容与功能)按既定剧本(网页代码)进行表演。而XSS攻击就像有人偷偷潜入舞台,插入自己的“表演”(其他脚本),干扰观众(用户)的正常观看。
接下来,为了让大家更直观地了解XSS攻击的原理,让我们跟随阿鹏老师,先搭建一个用户留言功能的简易网页来进行演示吧。
第一步,我们要在电脑桌面新建一个文本文档,并取名为留言板。
第二步,我们打开这个文档,并将以下留言板网页代码复制粘贴到文档内。
留言板网页代码
(滚动查看全部代码)
<title>XSS 漏洞演示</title><h1>留言板</h1> <form id="commentForm"> <label for="comment">请输入您的留言:</label><br> <input type="text" id="comment" name="comment"><br><br> <button type="submit">提交留言</button> </form> <h2>留言列表</h2> <div id="comments"></div> <script> // 获取留言表单并添加提交事件监听 document.getElementById('commentForm').addEventListener('submit', function(e) { e.preventDefault(); // 阻止表单默认提交行为 // 获取用户输入的留言内容 const comment = document.getElementById('comment').value; // 留言内容直接插入到页面的留言列表中 const commentsDiv = document.getElementById('comments'); commentsDiv.innerHTML += `<p>${comment}</p>`; }); </script>网页代码复制粘贴后效果如下。
第三步,我们保存内容,返回主屏幕,将txt格式改为html格式。
第四步,当我们修改后,会出现以下界面,我们选择“是”。
这样,我们的留言板网页就建立好了!
用浏览器打开“留言板”,你会看到一个简单的留言页面,有一个输入框和一个提交按钮,以及一个用于显示留言的区域。
正常情况下,如果你在输入框中输入“哈喽,我是好奇喵!”,然后点击提交按钮,这条留言会显示在留言列表中。
现在,让我们化身“黑客”,用XSS攻击这个留言板吧。
在输入框中输入以下内容,并点击提交留言。
XSS攻击(弹窗)脚本
<ahref=“javascript:alert(123)”>点我试试
这时,本该出现留言的地方,就出现了一个蓝色的“点我试试”。
如果这个页面存在XSS漏洞(在我们这个示例中是存在的),那么当你点击按钮后,页面会弹出一个提示框,显示“123”。这个弹窗这就是基础的XSS攻击。
千万不要小瞧这个弹窗和按钮!
这个按钮和弹窗像一个“炸弹”,一些不怀好意的黑客能够根据目的调整“炸弹的威力”。例如,他们完全有可能通过类似的手段,在你点击按钮的瞬间,窃取网站后台的敏感隐私信息,或者劫持你的账号。
学习资源
如果你是也准备转行学习网络安全(黑客)或者正在学习,这里开源一份360智榜样学习中心独家出品《网络攻防知识库》,希望能够帮助到你
知识库由360智榜样学习中心独家打造出品,旨在帮助网络安全从业者或兴趣爱好者零基础快速入门提升实战能力,熟练掌握基础攻防到深度对抗。
读者福利 |CSDN大礼包:《网络安全入门&进阶学习资源包》免费分享(安全链接,放心点击)
一、知识库价值
深度: 本知识库超越常规工具手册,深入剖析攻击技术的底层原理与高级防御策略,并对业内挑战巨大的APT攻击链分析、隐蔽信道建立等,提供了独到的技术视角和实战验证过的对抗方案。
广度: 面向企业安全建设的核心场景(渗透测试、红蓝对抗、威胁狩猎、应急响应、安全运营),本知识库覆盖了从攻击发起、路径突破、权限维持、横向移动到防御检测、响应处置、溯源反制的全生命周期关键节点,是应对复杂攻防挑战的实用指南。
实战性: 知识库内容源于真实攻防对抗和大型演练实践,通过详尽的攻击复现案例、防御配置实例、自动化脚本代码来传递核心思路与落地方法。
二、部分核心内容展示
360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式,既夯实基础技能,更深入高阶对抗技术。
360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式,既夯实基础技能,更深入高阶对抗技术。
内容组织紧密结合攻防场景,辅以大量真实环境复现案例、自动化工具脚本及配置解析。通过策略讲解、原理剖析、实战演示相结合,是你学习过程中好帮手。
1、网络安全意识
2、Linux操作系统
3、WEB架构基础与HTTP协议
4、Web渗透测试
5、渗透测试案例分享
6、渗透测试实战技巧
7、攻防对战实战
8、CTF之MISC实战讲解
三、适合学习的人群
基础适配人群
- 零基础转型者:适合计算机零基础但愿意系统学习的人群,资料覆盖从网络协议、操作系统到渗透测试的完整知识链;
- 开发/运维人员:具备编程或运维基础者可通过资料快速掌握安全防护与漏洞修复技能,实现职业方向拓展或者转行就业;
- 应届毕业生:计算机相关专业学生可通过资料构建完整的网络安全知识体系,缩短企业用人适应期;
能力提升适配
1、技术爱好者:适合对攻防技术有强烈兴趣,希望掌握漏洞挖掘、渗透测试等实战技能的学习者;
2、安全从业者:帮助初级安全工程师系统化提升Web安全、逆向工程等专项能力;
3、合规需求者:包含等保规范、安全策略制定等内容,适合需要应对合规审计的企业人员;
因篇幅有限,仅展示部分资料,完整版的网络安全学习资料已经上传CSDN,朋友们如果需要可以在下方CSDN官方认证二维码免费领取【保证100%免费】
;
因篇幅有限,仅展示部分资料,完整版的网络安全学习资料已经上传CSDN,朋友们如果需要可以在下方CSDN官方认证二维码免费领取【保证100%免费】
文章来自网上,侵权请联系博主
