常见网络攻击与防御方法
目录
Xss(跨站脚本攻击)
Sql注入
CSRF(跨站请求伪造攻击)
DDos
Xss(跨站脚本攻击)
概念:将可执行的前端脚本代码植入到网页中,通常是利用网页开发时留下的漏洞,注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。
其分为两种类型:一种是反射型,一种是持久型。
反射型是将脚本代码放在URL中,当用户点击URL,该请求就会通过服务器解析返回给浏览器,在返回的响应内容中出现攻击者的XSS代码,浏览器执行时就会中招了。
存储型是将恶意代码被存储在web server中。黑客通过XSS的漏洞,将内容经正常功能提交进入数据库持久保存,当进行数据库查询的时候,再将攻击脚本渲染进网页,返回给浏览器执行。
XSS防御:
- 对输入和URL参数进行过滤,也就是说对提交的内容进行过滤,对url中的参数进行过滤,过滤掉会导致脚本执行的相关内容
- 对输出进行编码,在输出数据之前对潜在的威胁的字符进行编码,使脚本无法在浏览器中执行。
- 使用HTTPOnly,一般XSS攻击通过利用js脚本读取用户的cookie,设置了HTTPOnly后js脚本就无法获取到cookie,应用程序一般也不会在js中操作这些敏感的cookie。
Sql注入
概念:让web服务器执行攻击者期望的sql语句,以便得到数据库中的数据,或对数据库进行读取,修改,删除,插入。sql注入常规套路在于将sql语句放在表单中提交给后端服务器 ,如果后端服务器没有做任何安全性校验,直接将变量取出进行数据库查询,则极易中招。
sql注入防御:
- 限制数据类型,在传入参数的地方限制参数的类型,比如整型,只有get到的id为数字或者数字字符时才能执行下一步。
- 正则表达式匹配传入参数,对传入的值进行匹配,如果不符合就过滤。正则表达式匹配很消耗服务器的性能,因此攻击时可以构造大量的正常语句骗过服务器,当后台对数据的处理达到最大限制的时候就会放弃匹配后面的非法语句。
- 函数过滤转义,防止”和’进行转义,这里应该是防止拼接
- 预编译语句,使用预编译语句绑定变量。使用预编译相当于将数据用代码分离的方式,把传入的参数绑定为一个变量,用?表示,攻击者无法改变sql的结构。将传入的参数当作纯字符串的形式作为username执行,避免sql语句中的拼接闭合查询语句的过程。可以理解为字符串与sql语句的关系区分开,username此时作为字符串不会被当做之前的sql语句被带入数据库执行,从而避免了类似sql语句拼接,闭合等非法操作。
CSRF(跨站请求伪造攻击)
概念:利用用户已经登陆的身份,在用户毫不知情的情况下,以用户的名义完成非法操作。攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求,利用受害者在被攻击网站已经获取的注册凭证(比如cookie),绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。
CSRF防御:
- 使用验证码,在关键的操作页面加上验证码,后台收到请求后通过判断验证码可以防御CSRF,但这种方法对用户不太友好
- 在请求地址中加入token验证。连接请求中用户验证信息都是存在cookie中,因此黑客可以通过cookie来通过安全验证(cookie也可以通过Xss攻击获得)。在http请求中以参数的形式加入一个随机产生的token,在服务器端建立一个拦截器来验证这个token,如果验证不通过,则拒绝该请求
- 验证http referer字段。http头中的referer字段记录了该http请求的来源地址。在通常情况下,访问一个安全受限页面的请求来自于同一个网站,而如果黑客要实施csrf攻击,一般只能在自己的网站构造请求,因此可以通过验证referer值来防御csrf攻击。
DDos
概念:攻击者使用多台计算机执行dos攻击。dos攻击是攻击者不断向服务器提出请求,占用服务器多资源,导致服务器无法处理正常的请求。
DDos防御:
- CDN,通过多个CDN连接点相互承受攻击,不容易由于一个连接点被攻击而导致瘫痪(隐藏服务器IP,让CDN为服务器承担攻击)。采用CDN要隐藏源服务器的ip地址,要不然攻击可以越过CDN直接攻击源服务器
- 配置web防火墙
- 高防IP,将攻击流量引流到高防IP,从而保护真正的ip不被暴露,确保源站的稳定可靠。
- 采用高防服务器,独立单个硬防御应对ddos攻击和cc攻击100g以上的服务器
常见网络攻击与防御方法相关推荐
- 常见网络攻击及防御方法总结(XSS、SQL注入、CSRF攻击)
从互联网诞生之初起,无时无刻不存在网络攻击,其中XSS攻击和SQL注入攻击是网站应用攻击的最主要的两种手段,全球大约70%的网站应用攻击都来自XSS攻击和SQL注入攻击.此外,常用的网站应用攻击还 ...
- 常见网络攻击与防御总结
常见网络攻击与防御 1.CSRF攻击与防御 1.1 什么是CSRF 1.2 防御CSRF攻击 1.2.1 验证码 1.2.2 Refer Check(添加Referer识别) 1.2.3 Anti C ...
- 常见拒绝服务攻击行为特征与防御方法
以下内容摘自笔者编著图书<网管员必读--网络安全>一书. 1.5.2 常见拒绝服务攻击行为特征与防御方法 拒绝服务攻击是最常见的一类网络攻击类型.在这一攻击原理下,它又派生了许多种不同的攻 ...
- 常见拒绝服务***行为特征与防御方法
<?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" />以下内 ...
- 常见web攻击方式与防御方法
1. 客户端攻击 1.1 跨站脚本攻击(XSS) 跨站脚本攻击(XSS)是客户端脚本安全中的头号大敌.OWASP TOP 10威胁多次把XSS列在榜首. 1.1.1 XSS分类 XSS根据效果的不同可 ...
- 常见APP攻击方法 以及防御方法介绍(移动安全)
一.常见APP攻击风险以及防御方法介绍 二.APP攻击以及防御方法 案例讲解 1.基于组件攻击 - 应用劫持 用户打开安卓手机上的某一应用,这时,恶意软件侦测到用户的这一动作,如果立即弹出一个与该应用 ...
- 举例说明一下常见的弱口令_常见网站入侵手段及防御方法
上传入侵 上传入侵便是通过上传文件来获得权限,针对有上传文件权限的网站实施,好比论坛可以上传附件.资讯站可以投稿上传图片,这些都可能为上传木马提供便利,上传木马以后,很多信息都会轻松暴露出来的.这个漏 ...
- 常见web漏洞原理,危害,防御方法
一 暴力破解 概述: 在web攻击中,一般会使用这种手段对应用系统的认证信息进行获取. 其过程就是使用大量的认证信息在认证接口进行尝试登录,直到得到正确的结果. 为了提高效率,暴力破解一般会使用带有字 ...
- 常见漏洞原理及其防御方法
SQL注入 SQL原理 SQL注入是因为在用户输入查询时,后台代码没有对用户输入的内容进行过滤,并且将用户的语句代入数据库查询,执行代码,恶意攻击者就可以构建任意代码进行攻击. SQL注入本质是数据和 ...
最新文章
- 大雁塔为什么七层_西安旅游的打卡景点,大雁塔是干嘛的?怎么来的?
- hdu4291 暴力循环节+矩阵快速幂
- 听说你想去大厂看学姐,带你看看京东软件产品经理岗长啥样?
- PPT怎么在剪映_剪映怎么剪辑音乐?添加、分割、导入音乐,图文详解!
- Python从数据库读取大量数据批量写入文件的方法
- 2011辞职日志:辞职最关键时刻在下周一
- 【2016年第6期】21世纪天文学面临的大数据和研究范式转型
- 程序员管理思维修炼,只需要反复阅读本篇
- openssl passwd
- 第2章 自由落体的小球(《C和C++游戏趣味编程》配套教学视频)
- 让form登录界面居中_徒手撸-登录页面(1)
- linux网络适配器驱动程序怎么安装,英特尔?服务器适配器 — Linuxixgbe* 基础驱动程序概述和安装...
- 【数据结构和算法笔记】用c语言实现栈
- 安卓-利用android studio制作简单的QQ登陆login界面
- CISSP国际注册信息系统安全专家
- 基于Flask框架实现Mock Server
- Android破解——支付宝内购破解方法总结
- 谷歌研究总监Peter Norvig赴斯坦福任教,著有《人工智能:一种现代方法》
- amazon - sellercentral 之 sellercentral report - monthly storage fee report
- 页面可用性之浏览器默认字体与CSS中文字体