web常见的攻击方式
文章类型:Javascript
发布者:admin
发布时间:2023-03-28
一:XSS(跨域脚本攻击)
1:方式:常常在网页中嵌入了恶意的脚本程序,当用户打开该网页的时候,脚本程序便开始在客户端的浏览器后台执行,常用于盗取客户端的 cookie,用户名密码,下载执行病毒的木马程序,以及获取客户端 Admin 权限3
2:分类:反射型、储存型
反射型=>通过url上的参数,在参数上直接添加脚本代码,这样服务器可以不需要处理,直接反射到浏览器,浏览器直接执行、让服务器根据参数返回特定的script脚本代码
储存型=>将恶意的script脚本给保存进数据库了
3:防范:HEAD 设置 X-XSS-Protection,设置HttpOnly Cookie 防止被客户端窃取cookie,CSP(内容安全策略),转义字符,白名单,黑名单,服务器要对url参数、保存文本内容进行防范和检查、前端则需要对特殊字符进行编码
二:CSRF(跨域请求伪造)
1:方式:就是利用你在信任网站的登录信息,去伪造一个身份,然后去信任网站发起带有恶意的请求
2:防范:通过Referer识别、cookie设置为HttpOnly、验证码、敏感操作多重验证,验证请求来源,cookie非跨域设置等;
三:SQL注入
1:方式:注入有sql含义的字符提交,通过 sql查询密码等信息时,完成了用户信息的验证
2:防范:不要直接拼接 SQL 语句、严格限制Web应用的数据库的操作权限、严格限制变量的类型、严格限制变量的类型
四:DDOS
1:方式:网站运行的各个环节,都可以是攻击目标。只要把一个环节攻破,使得整个流程跑不起来,就达到了痪服务的目的
2:防范:备份网站 、显示公告、HTTP 请求的拦截 、服务器防火墙、带宽扩容 + CDN
五:文件上传漏洞
1:方式:导致攻击者上传了一些恶意的脚本程序,从而达到攻击的目的
2:防范:文件上传的目录设置为不可执行、判断文件类型、使用随机数改写文件名和文件路径、单独设置文件服务器的域名、使用安全设备防御
六:DNS Query Flood攻击
1:方式:向被攻击的服务器发送海量的域名解析请求
2:防范:限制解析请求次数、带宽限制
七:CC攻击
1:方式:搜寻的大量匿名的HTTP代理,模拟正常用户给网站发起请求直到该网站拒绝服务为止
2:防范:取消域名绑定、名欺骗解析、更改Web端口、屏蔽IP