一网打尽！每个程序猿都该了解的黑客技术大汇总

上面这个段子估计很多朋友都看过，程序员被黑过无数次，在其他人眼中，仿佛我们需要写得了木马，翻得了围墙，修得了电脑，找得到资源，但凡是跟计算机沾点边的，咱都得会才行。

段子归段子，言归正传，对于咱们程序员来说，多多少少了解一些信息安全的技术知识还是大有裨益的，不仅能了解一些计算机和网络的底层原理，也能反哺我们的开发工作，带着安全思维编程，减少漏洞的产生。

本文内容：

- 网络安全
  - SQL注入
  - XSS攻击
  - CSRF攻击
  - DDoS攻击
  - DNS劫持
  - TCP劫持
  - 端口扫描技术
- 系统安全
  - 栈溢出攻击
  - 整数溢出攻击
  - 空指针攻击
  - 释放后使用攻击
  - HOOK
  - 权限提升
  - 可信计算
- 密码学
  - 对称加密 & 非对称加密
  - 秘钥交换技术
  - 信息摘要算法
  - 数据编码技术
  - 多因子认证技术

信息安全大体可分为三个大的分支：

网络安全
系统安全
密码学

下面轩辕君就这三个领域分别罗列一些常用的黑客技术，部分技术是存在领域交叉的，就将其划入主要那个类别里去了。

网络安全

SQL注入

Web安全三板斧之首，大名鼎鼎的SQL注入。

SQL注入攻击的核心在于让Web服务器执行攻击者期望的SQL语句，以便得到数据库中的感兴趣的数据或对数据库进行读取、修改、删除、插入等操作，达到其邪恶的目的。

而如何让Web服务器执行攻击者的SQL语句呢？SQL注入的常规套路在于将SQL语句放置于Form表单或请求参数之中提交到后端服务器，后端服务器如果未做输入安全校验，直接将变量取出进行数据库查询，则极易中招。

举例如下：

对于一个根据用户ID获取用户信息的接口，后端的SQL语句一般是这样：

select name,[...] from t_user where id=$id

其中，$id就是前端提交的用户id，而如果前端的请求是这样：

GET xx/userinfo?id=1%20or%201=1

其中请求参数id转义后就是1 or 1=1，如果后端不做安全过滤直接提交数据库查询，SQL语句就变成了：

select name,[...] from t_user where id=1 or 1=1

其结果是把用户表中的所有数据全部查出，达到了黑客泄露数据的目的。

以上只是一个极简单的示例，在真实的SQL注入攻击中参数构造和SQL语句远比这复杂得多，不过原理是一致的。

防御手段：对输入进行检测，阻断带有SQL语句特征对输入

重点关注：前端工程师、Web后端工程师

XSS攻击

Web安全三板斧之二，全称跨站脚本攻击（Cross Site Scripting），为了与重叠样式表CSS区分，换了另一个缩写XSS。

XSS攻击的核心是将可执行的前端脚本代码（一般为JavaScript）植入到网页中，听起来比较拗口，用大白话说就是攻击者想让你的浏览器执行他写的JS代码。那如何办到呢？一般XSS分为两种：

反射型

1、攻击者将JS代码作为请求参数放置URL中，诱导用户点击

示例：

http://localhost:8080/test?name=<script>alert("you are under attack!")</script>

2、用户点击后，该JS作为请求参数传给Web服务器后端

3、后端服务器没有检查过滤，简单处理后放入网页正文中返回给浏览器

4、浏览器解析返回的网页，中招！

存储型

上述方式攻击脚本直接经服务器转手后返回浏览器触发执行，存储型与之的区别在于能够将攻击脚本入库存储，在后面进行查询时，再将攻击脚本渲染进网页，返回给浏览器触发执行。常见的套路举例如下：

1、攻击者网页回帖，帖子中包含JS脚本

2、回帖提交服务器后，存储至数据库

3、其他网友查看帖子，后台查询该帖子的回帖内容，构建完整网页，返回浏览器

4、该网友浏览器渲染返回的网页，中招！

防御手段：前后端均需要做好内容检测，过滤掉可执行脚本的侵入

重点关注：前端工程师、Web后端工程师

CSRF攻击

Web安全三板斧之三，攻击示意图如下：

核心思想在于，在打开A网站的情况下，另开Tab页面打开恶意网站B，此时在B页面的“唆使”下，浏览器发起一个对网站A的HTTP请求。

这个过程的危害在于2点：

1、这个HTTP请求不是用户主动意图，而是B“唆使的”，如果是一个危害较大的请求操作（发邮件？删数据？等等）那就麻烦了

2、因为之前A网站已经打开了，浏览器存有A下发的Cookie或其他用于身份认证的信息，这一次被“唆使”的请求，将会自动带上这些信息，A网站后端分不清楚这是否是用户真实的意愿

重点关注：前端工程师、Web后端工程师

DDoS攻击

DDoS全称Distributed Denial of Service：分布式拒绝服务攻击。是拒绝服务攻击的升级版。

拒绝攻击服务顾名思义，让服务不可用。常用于攻击对外提供服务的服务器，像常见的：

Web服务
邮件服务
DNS服务
即时通讯服务
......

在早期互联网技术还没有那么发达的时候，发起DoS攻击是一件很容易的事情：一台性能强劲的计算机，写个程序多线程不断向服务器进行请求，服务器应接不暇，最终无法处理正常的请求，对别的正常用户来说，看上去网站貌似无法访问，拒绝服务就是这么个意思。

后来随着技术对发展，现在的服务器早已不是一台服务器那么简单，你访问一个www.baidu.com的域名，背后是数不清的CDN节点，数不清的Web服务器。

这种情况下，还想靠单台计算机去试图让一个网络服务满载，无异于鸡蛋碰石头，对方没趴下，自己先趴下了。

技术从来都是一柄双刃剑，分布式技术既可以用来提供高可用的服务，也能够被攻击方用来进行大规模杀伤性攻击。攻击者不再局限于单台计算机的攻击能力，转而通过成规模的网络集群发起拒绝服务攻击。

拒绝服务攻击实际上是一类技术，根据具体实施手段的不同，又可以进一步细分：

SYN Flood
ICMP Flood
UDP Flood
......

防御手段：即便是到现在，面对DDoS也没有100%打包票的防御方法，只能靠一些缓解技术一定层面上减轻攻击的威力。这些技术包括：流量清洗、SYN Cookie等等。

重点关注：运维工程师、安全工程师

DNS劫持

当今互联网流量中，以HTTP／HTTPS为主的Web服务产生的流量占据了绝大部分。Web服务发展的如火如荼，这背后离不开一个默默无闻的大功臣就是域名解析系统：

如果没有DNS，我们上网需要记忆每个网站的IP地址而不是他们的域名，这简直是灾难，好在DNS默默在背后做了这一切，我们只需要记住一个域名，剩下的交给DNS来完成吧。

也正是因为其重要性，别有用心的人自然是不会放过它，DNS劫持技术被发明了出来。

DNS提供服务用来将域名转换成IP地址，然而在早期协议的设计中并没有太多考虑其安全性，对于查询方来说：

我去请求的真的是一个DNS服务器吗？是不是别人冒充的？
查询的结果有没有被人篡改过？这个IP真是这个网站的吗？

DNS协议中没有机制去保证能回答这些问题，因此DNS劫持现象非常泛滥，从用户在地址栏输入一个域名的那一刻起，一路上的凶险防不胜防：

本地计算机中的木马修改hosts文件
本地计算机中的木马修改DNS数据包中的应答
网络中的节点（如路由器）修改DNS数据包中的应答
网络中的节点（如运营商）修改DNS数据包中的应答
......

后来，为了在客户端对收到对DNS应答进行校验，出现了DNSSEC技术，一定程度上可以解决上面的部分问题。但限于一些方面的原因，这项技术并没有大规模用起来，尤其在国内，鲜有部署应用。

再后来，以阿里、腾讯等头部互联网厂商开始推出了httpDNS服务，来了一招釜底抽薪，虽然这项技术的名字中还有DNS三个字母，但实现上和原来但DNS已经是天差地别，通过这项技术让DNS变成了在http协议之上的一个应用服务。

重点关注：安全工程师、后端工程师、运维工程师

TCP劫持

TCP是TCP/IP协议族中非常重要的成员，位于传输层。协议本身并没有对TCP传输的数据包进行身份验证，所以我们只要知道一个TCP连接中的seq和ack后就可以很容易的伪造传输包，假装任意一方与另一方进行通信，我们将这一过程称为TCP会话劫持（TCP Session Hijacking）

TCP劫持技术是一种很老的技术，1995年被提出来后深受黑客青睐。不过近些年来，随着操作系统层面的安全机制增强和防火墙软件的检测能力提升，这种基础的攻击方式越来越容易被发现，慢慢的淡出了人们的视野。

重点关注：安全工程师、运维工程师

端口扫描技术

端口扫描是黑客经常使用的一种技术，它一般是作为网络攻击的前期阶段，用于探测目标开启了哪些服务，以便接下来发起针对该服务的攻击。

记得刚刚学习网络安全的时候，大家总会没事拿出工具来扫一扫，虽然扫了之后就没有了下文，也总是乐此不疲，在不懂的人面前秀一把自己的“黑客”能力。

以TCP／IP协议族构建的互联网，网络服务总是离不开端口这个概念，不管是TCP也好，UDP也罢，应用层都需要一个端口号来进行网络通信。而我们常见的服务端口有：

21: FTP文件传输服务
25: SMTP邮件服务
53: DNS域名解析系统服务
80: HTTP超文本传输协议服务
135: RPC远程过程调用服务
443: HTTPS
3389: MSRDP微软远程桌面连接服务
......

端口扫描都原理，对于基于UDP的服务，发送对应服务都请求包，查看是否有应答；对于基于TCP的服务，尝试发起三次握手发送TCP SYN数据包，查看是否有应答。

如果远端服务器进行了响应，则表明对端服务器上运行了对应的服务，接下来则是进一步探知对端服务器使用的操作系统、运行的服务器程序类型、版本等等，随即针对对应的漏洞程序发起网络攻击。

由此可见，为安全着想，在互联网上应当尽可能少暴露信息，关闭不需要的服务端口。

防御手段：使用防火墙等安全产品，即时发现和阻断非法的扫描探测行为。

重点关注：运维工程师、安全工程师

[为防抄袭，手动插入文字水印，敬请谅解。本文来自微信公众号：编程技术宇宙]

系统安全

系统安全版块中的技术，一般是指攻击发生在终端之上，与操作系统息息相关。

栈溢出攻击

栈溢出攻击历史悠久，也是发生在系统侧最基础的攻击。

现代计算机基本上都是建立在冯－诺伊曼体系之上，而这一体系有一个最大的问题就是数据和指令都保存在存储器中。

在计算机的内存中，既包含了程序运行的所有代码指令，又包含了程序运行的输入输出等各种数据，并没有一种强制的机制将指令和数据区分。因为对于计算机来说它们都是一样的二进制0和1，大部分时候都是靠程序按照既定的“规则”去解释理解内存中的这些0和1。而一旦这些“规则”理解错误，事情就变得糟糕起来。

具体到我们现代CPU和OS，不管是x86／x64处理器，还是ARM处理器，均采用了寄存器＋堆栈式的设计，而这个堆栈中，既包含了程序运行各个函数栈帧中的变量数据等信息，还保存了函数调用产生的返回地址。

所谓栈溢出攻击，则是通过一些手段输入到栈中的缓冲区中，冲破缓冲区原有的界限，将存储返回地址的位置覆盖为一个数值，使其指向攻击者提前布置的恶意代码位置，劫持了程序的执行流程。

防御手段：现代操作系统针对栈溢出攻击已经有非常成熟的应对方案，像Linux平台的Stack Canary，Windows平台的GS机制等等，程序员需要做的就是充分利用这些机制。

重点关注：C／C++工程师

整数溢出攻击

和栈溢出攻击一样，整数溢出攻击也是属于溢出类攻击，不一样的是溢出的目标不是栈中的缓冲区，而是一个整数。

我们知道，计算机数值以补码的方式表示和存储。在表示一个有符号数时，最高位是用来表示这是一个正数（0）还是一个负数（1），比如对于一个16位的short变量而言，+1和－1的表示方法如下：

+1: 0000 0000 0000 0001
-1: 1111 1111 1111 1111

一个16位的short变量表示的范围是-32768~32767，现在思考一个问题，假如一个short变量的值现在是32767：

32767: 0111 1111 1111 1111

如果现在对其执行＋1操作，将变成：

1000 0000 0000 0000

而这正是-32768的补码形式！

试想一下，如果这个变量名字叫length作为strcpy参数，或是叫index作为数组的下标，整数的溢出将导致可怕的后果，轻则进程崩溃，服务宕机，重则远程代码执行，拿下控制权。

重点关注：所有程序员

空指针攻击

空指针一般出现在指针没有初始化，或者使用new进行对象创建/内存分配时失败了，而粗心的程序员并没有检查指针是否为空而进行访问导致的攻击。

大多数情况下，这将导致内存地址访问异常，程序会崩溃退出，造成拒绝服务的现象

而在一些特殊的情况下，部分操作系统允许分配内存起始地址为0的内存页面，而攻击者如果提前在该页面准备好攻击代码，则可能出现执行恶意代码的风险。

释放后使用攻击

释放后使用Use After Free意为访问一个已经释放后的内存块。较多的出现在针对浏览器的JavaScript引擎的攻击中。

正常情况下，一个释放后的对象我们是没法再访问的，但如果程序员粗心大意，在delete对象后，没有即时对指针设置为NULL，在后续又继续使用该指针访问对象（比如通过对象的虚函数表指针调用虚函数），将出现内存访问异常。

在上面的场景中，如果攻击者在delete对象后，马上又new一个同样内存大小的对象，在现代操作系统的堆内存管理算法中，会有很大概率将这个新的对象放置于刚刚被delete的对象的位置处。这个时候还通过原来对象的指针去访问，将出现鸠占鹊巢，出现可怕的后果。

养成好的编程习惯，对象delete后，指针及时置空。

重点关注：C／C++工程师

HOOK

HOOK原意钩子的意思，在计算机编程中时常用到，用来改变原有程序执行流程。

在那个互联网充斥着流氓软件的年代，流行着一种键盘记录器的木马，用于记录用户键盘的输入，从而盗取密码，这其中QQ曾经是重灾区。

而实现这一功能的技术就是用到了HOOK技术，钩到了键盘敲击的事件消息。

除了消息HOOK，用得更多的是程序执行流程层面的HOOK。恶意代码被注入目标程序后，在函数入口处添加跳转指令，导致执行到此处的线程转而执行攻击者的代码，实现修改参数、过滤参数的目的。

HOOK技术不仅为黑客使用，安全软件用的更多，安全软件需要守护整个系统的安全防线，通过HOOK技术在各处敏感API处设立检查，从而抵御非法调用攻击行为。

另外，软件补丁技术中也时常用到HOOK技术，软件厂商发现原来程序漏洞后，通过HOOK，修改既有程序的执行逻辑，从而达到修复漏洞的目的。

重点关注：C／C++工程师

权限提升

现代操作系统都对运行于其中的进程、线程提供了权限管理，因为安全攻击无可避免，而权限的限制作为一道颇为有效的屏障将程序被攻击后的影响减少到最小。

换句话说，即便我们的程序因为漏洞原因被攻击执行了恶意代码，但因为操作系统的权限控制，恶意代码能干的事情也有限。

就像一枚硬币总有两个面，有权限限制，自然而然就有权限提升。攻击者想要做更多事情，就得突破操作系统的限制，获取更高的权限。

在Windows上，经常叫获得管理员权限。

在Linux上，经常叫获得Root权限，手机Root也是这个意思。

在iOS上，经常叫“越狱”。

权限提升的方式五花八门，总体来说，程序执行的时候，所属进程／线程拥有一个安全令牌，用以标识其安全等级，在访问资源和执行动作的时候由操作系统内核审核。

权限提升的目标就是将这个安全令牌更改为高等级的令牌，使其在后续访问敏感资源和执行敏感动作时，凭借该令牌可以通过系统的安全审核。

而更改这个安全令牌的惯用伎俩便是利用操作系统内核漏洞（如前面所述的栈溢出、整数溢出、释放后使用等）执行攻击者的代码，实现安全令牌的篡改。

重点关注：安全工程师

可信计算

安全攻击无处不在，不仅应用程序的环境不可靠，甚至连操作系统内核的环境也充满了风险。

如果一段程序（比如支付）必须在一个极度绝密的环境下执行，该怎么办？

可信计算的概念被安全研究者提了出来，根据百科的解释：

可信计算/可信用计算（Trusted Computing，TC）是一项由可信计算组（可信计算集群，前称为TCPA）推动和开发的技术。可信计算是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台，以提高系统整体的安全性 [1] 。签注密钥是一个2048位的RSA公共和私有密钥对，它在芯片出厂时随机生成并且不能改变。这个私有密钥永远在芯片里，而公共密钥用来认证及加密发送到该芯片的敏感数据。

可信计算中一个非常重要的概念是可信执行环境TEE（Trusted Execution Environment)，简单来说就是在现有的计算机内部的世界里，再构建一个秘密基地，专门用于运行极度机密的程序。该秘密基地甚至连操作系统都轻易无法访问，更别说操作系统之上的应用程序了。

在移动端，ARM芯片占据了主流市场，ARM芯片提供了名为TrustZone技术的技术，在硬件层面新增一个可信计算环境，包含一个可信OS，和一些可信APP，和普通环境在硬件层面隔离，处理器内部进行通信完成两个世界的交互。