如何巧妙防御Web攻击

如何巧妙防御Web攻击?网络安全问题对于开发者而言也是十分重要的课题,那么笔者也总结了几点关于Web攻击的常见情况及分析。

1. CSRF (cross-site request forgery)跨站请求伪造

一句话概括:当用户浏览器同时打开危险网站和正常网站,危险网站利用图片隐藏链接,或者js文件操纵用户生成错误请求给正常网站。此时因为用户会携带自己的session验证。危险网站发出的请求得以执行。

根本原因:web的隐式身份验证机制。

解决办法:为每一个提交的表单生成一个随机token, 存储在session中,每次验证表单token,检查token是否正确。

2. XSS (cross site script)跨站脚本攻击

一句话概括:网站对提交的数据没有转义或过滤不足,导致一些代码存储到系统中,其他用户请求时携带这些代码,从而使用户执行相应错误代码。

例如在某论坛评论中发表:

这样的话,当其他用户浏览到这个页面,这段js代码就会被执行。尚学堂•百战程序员陈老师指出,当然,我们还可以执行一些更严重的代码来盗取用户信息。

解决办法:转移和过滤用户提交的信息

3. session攻击,会话劫持

一句话概括:用某种手段得到用户session ID,从而冒充用户进行请求。

原因:由于http本身无状态,同时如果想维持一个用户不同请求之间的状态,session ID用来认证用户。

三种方式获取用户session ID:

预测:PHP生成的session ID足够复杂并且难于预测,基本不可能;

会话劫持: URL参数传递sessionID; 隐藏域传递sessionID;比较安全的是cookie传递。但同样可以被xss攻击取得sessionID。

会话固定: 诱骗用户使用指定的sessionID进行登录,这样系统不会分配新的sessionID。

如何巧妙防御Web攻击?防御方法:每次登陆重置sessionID,设置HTTPOnly,防止客户端脚本访问cookie信息,阻止xss攻击,关闭透明化sessionID以及user-agent头信息验证和token校验。

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20180417A0FXTZ00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券