Web安全与防御

xss攻击(跨站脚本)

是网站应用程序的安全泄露攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。

攻击原理

其特点是不对服务器端造成任何伤害,而是通过一些正常的站内交互途径,例如发布评论,提交含有 JavaScript 的内容文本。这时服务器端如果没有过滤或转义掉这些脚本,作为内容发布到了页面上,其他用户访问这个页面的时候就会运行这些脚本。

防御方法

  1. 浏览器端主动进行 XSS 识别
  2. 服务器端对于用户输入的内容进行过滤

CSRF攻击

CSRF 的全称是“跨站请求伪造”,而 XSS 的全称是“跨站脚本”。看起来有点相似,它们都是属于跨站攻击——不攻击服务器端而攻击正常访问网站的用户。

攻击原理

CSRF 顾名思义,是伪造请求,冒充用户在站内的正常操作。我们知道,绝大多数网站是通过 cookie 等方式辨识用户身份(包括使用服务器端 Session 的网站,因为 Session ID 也是大多保存在 cookie 里面的),再予以授权的。所以要伪造用户的正常操作,最好的方法是通过 XSS 或链接欺骗等途径,让用户在本机(即拥有身份 cookie 的浏览器端)发起用户所不知道的请求。

一言蔽之就是冒充用户进行一些操作。

防御方法

1、通过 referer、token 或者验证码来检测用户提交。

2、尽量不要在页面的链接中暴露用户隐私信息。

3、对于用户修改删除等操作最好都使用 post 操作。

4、避免全站通用的 cookie,严格设置 cookie 的域。

SQl 攻击

简称:注入攻击。是发生于应用程序之数据库层的安全泄露。

攻击原理:

用户直接输入 sql 语句,如果应用用的是拼接字符串的方式且没有过滤掉的话,当流程走到数据库部分的时候就会直接执行,等于说数据库的信息直接暴露在用户面前,那还不是想干嘛就干嘛。。。

防御方法

1.、验证并转义用户输入

2、base64编码

3、绑定变量,使用预编语言

4、控制用户的权限,以及做好数据库本身的安全工作

文件上传漏洞

是指网络攻击者上传了一个可执行的文件到服务器并执行。这里上传的文件可以是木马,病毒,恶意脚本或者WebShell (诸如 jsp, php, asp 这些脚本)等

攻击原理

有点像 sql 诸如和 xss 就是变成上传文件了。

防御方法

过滤上传类型:比如上传头像文件的类型是否为图片,大小是不是超过了。

引入第三方:将文件上传到第三方提供地址,服务器只保留一个地址即可。

ddos攻击

DDoS 全称 Distributed Denial of Service,分布式拒绝服务攻击。

攻击原理

就是本来一个服务器最大承受一个G的带宽,这时候一次性来了十个G的请求流量,咋整?服务器要么是陷入无尽的请求等待,要么就直接GG了。

防御方法

1、拼宽带

2、流量清洗或者封 IP

3、CDN 服务

4、花钱买相应的防御服务

本文分享自微信公众号 - HACK学习呀(Hacker1961X)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2018-04-22

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏架构探险之道

Spring Boot 整合 LDAP 开发教程

LDAP(轻量级目录访问协议,Lightweight Directory Access Protocol)是实现提供被称为目录服务的信息服务。目录服务是一种特殊...

19710
来自专栏网络攻防实战知识交流

PostgreSQL 高权限命令执行漏洞(CVE-2019-9193)复现

PostgreSQL,俗称Postgres,是世界上最受欢迎的数据库系统之一。它是Mac OSX系统的主力数据库,同时也有Linux和Windows版本。

23730
来自专栏架构探险之道

数据库分布式事务

分布式事务就是指事务的参与者、支持事务的服务器、资源服务器以及事务管理器分别位于不同的分布式系统的不同节点之上。以上是百度百科的解释,简单的说,就是一次大的操作...

16620
来自专栏网络攻防实战知识交流

MetInfo 6.0.0反馈管理页面存储XSS(CVE-2018-7721)分析

说明:MetInfo 6.0.0中的跨站点脚本(XSS)漏洞允许远程攻击者注入任意Web脚本或HTML

8520
来自专栏Java3y

他怎么追个剧都能看出「大数据」来?

听说最近《长安十二时辰》比较火,于是趁着一个周末赶紧补一补剧。相信很多人都对其中的"大案牍术"比较感兴趣,靖安司说"大案牍术"选中了张小敬。

10220
来自专栏网络攻防实战知识交流

DVWA笔记(二)----Brute Force

相信大家看过之前的教程已经成功搭建起我们的渗透测试环境啦!那么,在这篇文章中一起开启web渗透测试的第一篇吧!爆破什么的最爽了!

13020
来自专栏有三AI

【技术综述】人脸表情识别研究

随着机器学习和深度神经网络两个领域的迅速发展以及智能设备的普及,人脸识别技术正在经历前所未有的发展,关于人脸识别技术讨论从未停歇。目前,人脸识别精度已经超过人眼...

50930
来自专栏网络攻防实战知识交流

DVWA笔记(一)----环境搭建 "渗透测试学习笔记"

在国庆这么美好的假期,作为一个web萌新,我决定在实验室度过,来学习下DVWA(Damn Vulnerable Web Application),那么这玩意是个...

12640
来自专栏崔庆才的专栏

到底什么是数据中台?

最近可能大家听到“数据中台”这个词越来越频繁了,有时候我跟一些朋友聊起来,也是都在说这个,但是一直不知道这到底是个什么。最近就看到这篇文章,觉得说的还挺好的,分...

2K20
来自专栏架构探险之道

[Flowable] 集成Spring Boot和流程设计编辑器破解教程程

本文主要为了开发学习和分享,转载请注明出处。Flowable的使用请尽量使用官方发布版本,涉及知识产权部分请谨慎使用,尤其是公司产品开发过程中,请特别注意!

1.1K30

扫码关注云+社区

领取腾讯云代金券

年度创作总结 领取年终奖励