web常见攻击总结

1.Sql注入

  攻击者把sql命令插入到web表单的输入域或页面请求的查询字符串,
  欺骗服务器执行恶意的sql命令

  防御措施

  前端:
  1.正则验证字符串格式
  2.过滤字符串的非法字符

  后端:
  1.不要直接拼接sql,要使用参数化查询
  2.使用存储过程代替sql查询

2.XSS(Cross site Scripting,跨站脚本攻击)

  就是脚本注入攻击。常见的有反射型(非持久性),存储型(持久性)等。

  反射型

  将js脚本添加到查询字符串中,将含有脚本的链接传播为用户,用户点开链接,
  脚本会执行,客户获取用户cookie,或执行其他危险操作。

  存储型

  通过表单输入将脚本存储到服务器的数据库中,当其他人打开页面的时候,脚本
  就会执行,可以获取用户cookie,或修改用户界面显示等操作。

  防御措施

  前端:

  1.对用户输入进行校验,过滤,编码和转义

  后端:

  1.对输入的字符进行过滤,编码,替换
  2.对输出的字符进行编码

3.CSRF(Cross site request forgery,跨站请求伪造)

  模拟网站用户想网站发起请求,进行非法操作或得到非法结果。

  防御措施

  1.验证Http Referer的值

  验证http头部的referer,判断请求来源是合法的地址,才进行处理,
  否则拒绝响应。

  2.使用请求令牌

  访问页面时,服务端在页面写入一个随机token,并设置token过期时间。
  请求必须带上token,请求过的token会失效,无法再用。此种token方法
  也可以防止表单重复提交,在登录等安全性要求高的页面,使用验证码

  3.幂等的GET请求

  GET请求不要执行任何修改数据操作,仅通过POST,PUT,DELETE请求修改网站内容

4.防盗链

  盗链会增加服务器的负担。盗链主要是对网站图片,视频以及其他资源文件的下载。

  防御措施

  判断ip地址和域名,只有白名单中的ip和域名才能返回资源,否则,
  不予处理,或者返回一个网站logo。

时间: 2024-11-06 03:56:14

web常见攻击总结的相关文章

web常见攻击

DoS和DDoS攻击 DoS(Denial of Service),即拒绝服务,造成远程服务器拒绝服务的行为被称为DoS攻击.其目的是使计算机或网络无法提供正常的服务.最常见的DoS攻击有计算机网络带宽攻击和连通性攻击. 为了进一步认识DoS攻击,下面举个简单的栗子来进行说明:  图1 TCP三次握手:数据段互换 Client发送连接请求报文,Server接受连接后回复ACK报文,并为这次连接分配资源.Client接收到ACK报文后也向Server发送ACK报文,并分配资源,这样TCP连接就建立

Web脚本攻击之注入攻击

注入攻击的概念和原理 注入漏洞是Web服务器中广泛存在的漏洞类型,其基本原理是Web程序对用户输入请求中包含的非法数据检查过滤不严,使Web程序将用户的异常输入字符当做正常代码执行,从而使用户在未授权的情况下非法获取Web服务器的信息. 利用注入漏洞发起的攻击称为注入攻击,它是Web安全领域最为常见威胁也是最大的攻击,注入攻击包括SQL注入.代码注入.命令注入.LDAP注入.XPath注入等.实现注入攻击要具备两个关键条件,第一是用户能够自主编写输入的数据,第二是Web程序的执行代码被拼接了用户

防御web网站攻击,选择好的服务器至关重要

Web服务器保护无疑是一个热门话题.随着技术发展成熟,人们对便捷性的期待越来越高,服务器Web应用成为主流业务系统载体.存储在Web上的Web关键业务系统中的数据的价值已经引起了攻击者的关注,Web漏洞攻击和攻击工具的在线漏洞降低了攻击的门槛,并且使得攻击盲目和随机.如使用GoogleHacking原理的批量搜索与应用程序中已知的漏洞,以及SQL批注和挂马等.但是对于重要的Web应用程序(如运营商或财务部门)来说,总是有兴趣的黑客持续跟踪. 网站遭受DDOS.CC攻击后一般会表现出:网站掉包严重

使用 Rational AppScan 保证 Web 应用的安全性,第 2 部分: 使用 Rational AppScan 应对 Web 应用攻击

1 当前 Web 安全现状 互联网的发展历史也可以说是攻击与防护不断交织发展的过程.目前,全球因特网用户已达 13.5 亿,用户利用网络进行购物.银行转账支付和各种软件下载,企业用户更是依赖于互联网构建他们的核心业务,对此,Web 安全性已经提高一个空前的高度. 然 而,现实世界中,针对网站的攻击愈演愈烈,频频得手.CardSystems 是美国一家专门处理信用卡交易资料的厂商.该公司为万事达 (Master).维萨 (Visa) 和美国运通卡等主要信用卡组织提供数据外包服务,负责审核商家传来的

Web前端攻击方式及防御措施

一.XSS [Cross Site Script]跨站脚本攻击 恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的.  1.Reflected XSS 基于反射的XSS攻击,主要依靠站点服务端返回脚本,在客户端触发执行从而发起Web攻击.Web客户端使用Server端脚本生成页面为用户提供数据时,如果未经验证的用户数据被包含在页面中而未经HTML实体编码,客户端代码便能够注入到动态页面中.  2.Stor

物联网智能硬件设备常见攻击方法

以太网接入型设备,一般分为网线或WiFi两种.不管是WiFi还是网线,可以通过局域网抓包.笔记本WiFi桥接抓包等等手段.最著名的抓包软件 Wireshark如何抓取硬件设备的网络数据包,考量的是网络知识基本功,需要大家自行度娘! 基本准备工作:1,Wireshark监听udp的53端口,一部分硬件设备会使用域名,连接服务器之前,需要首先进行域名解析,走的就是udp53端口,也有极少数可能走tcp532,通过桥接等手段,让硬件设备的任何数据包必须经过本机,Wireshark不设过滤器,通过抓到的

Java web 常见对象的取值方法整理

一.从request中取值: 1.取param: servlet:  request.getParameter() request.getParameterValues() jsp脚本:request.getParameter() request.getParameterValues() jstl/el:  ${param.name} ${paramaValues.names[0]} struts ognl:<s:property value="#parameters.ParamName[

DNS常见攻击与防范

DNS常见攻击与防范 转自:http://www.williamlong.info/archives/3813.html 日期:2015-7-10 随着网络的逐步普及,网络安全已成为INTERNET路上事实上的焦点,它关系着INTERNET的进一步发展和普及,甚至关系着INTERNET的生存.可喜的是我们那些互联网专家们并没有令广大INTERNET用户失望,网络安全技术也不断出现,使广大网民和企业有了更多的放心,下面就网络安全中的主要技术作一简介,希望能为网民和企业在网络安全方面提供一个网络安全

智能合约常见攻击方式

准备 MetaMask,指向Ropsten test network,获取测试Ether Remix-ide 普通攻击 fallback回退函数 合约可以有一个未命名函数,该函数不能有参数,也不能有返回值.fallback函数在以下情况会被调用: 一个调用中,没有其他函数与给定的函数标识符匹配(或没有提供调用数据).由于Solidity中,Solidity提供了编译期检查,所以我们不能直接通过Solidity调用一个不存在的函数.但我们可以使用Solidity的提供的底层函数address.ca