常见的web攻击手段有:
- XSS攻击;
- CSRF攻击;
- SQL注入攻击;
- 文件上传漏洞;
- DDOS攻击。
- 域名劫持
XSS攻击
XSS攻击:全称是跨站脚本攻击,指的是攻击者在脚本中嵌入恶意脚本程序,当用户打开网页时,脚本程序便开始在客户端的浏览器上执行,以盗取客户端COOKIE,用户名密码,下载执行病毒木马程序,甚至是获取客户端的admin权限。
防范
对用户输入的数据进行html转义处理,将其中的“尖括号”,“单引号”,“引号”之类的特殊字符进行转义。
CSRF攻击
CSRF攻击的全称是跨站请求伪造,是一种对网站的恶意利用,通过伪装来自受信任用户的请求来利用受信任的网站。攻击者盗用你的身份,以你的名义向第三方网站发送恶意请求。
防御
- 将COOKIE设置成httpOnly;
- 增加token:在HTTP请求中以参数的形式加入一个随机产生的token,并在服务端进行token校验。
- 通过Referer识别:在HTTP头中有一个字段叫做Referer,它记录了该HTTP请求的来源地址。
SQL注入攻击
所谓SQL注入,就是通过把SQL命令伪装成正常的HTTP请求参数,传递到服务端,欺骗服务器最终执行恶意的SQL命令,达到入侵目的。
攻击者可以利用SQL注入漏洞,查询非授权信息,修改数据库服务器的数据,改变表结构,甚至获取服务器root权限。
文件上传漏洞
文件上传漏洞是指恶意攻击者利用一些站点没有对文件的类型做很好的校验,上传了可以执行的文件或脚本,并且通过脚本获取服务器上相应的权利,或者是通过诱导外部用户访问,下载上传的病毒或木马文件,达到攻击的目的。
防御
对上传的文件进行白名单校验,并且限制上传文件的大小,上传 文件需要进行重命名,使攻击者无法猜测到上传文件的访问路径。
DDOS攻击
DDoS即分布式拒绝服务攻击。指的是攻击者借助公共网络,将数量庞大的计算机设备联合起来作为攻击平台,对一个或多个目标发动攻击,从而达到瘫痪目标主机的目的。
DDOS有多种攻击类型:
- 蛮力型,利用海量的流量瘫痪目标主机:ICMP Flood,UDP Flood;
- 利用协议和软件漏洞:Slowloris攻击,Hash碰撞攻击;
- 混合方式:同时利用协议和系统缺陷,又具备海量流量:SYN Flood,DNS Query Flood。
常见的DDOS攻击手段:
SYN Flood
SYN Flood是攻击者伪造大量IP地址给服务器发送SYN报文,但由于伪造的IP地址绝大部分都不存在,服务器就不能得到IP地址所表示的客户端的任何回应,服务器会将客户端信息放入把链接等待队列,并且不断对这个链表中的IP地址进行遍历和重试,占用了大量系统资源。当大量的恶意客户端信息沾满了服务器的等待队列,会导致服务器不再接收新的SYN请求,正常用户完成三次握手与服务器进行通信。
关于TCP协议建立一个连接三次握手
1.客户端发送一个包含SYN标识的TCP报文,SYN报文会指明客户端的端口号及TCP连接的初始序列号;
2.服务器在接收到客户端的SYN报文后,会返回一个SYN+ACK的报文,表示客户端请求被接收,同时,TCP序列号被加一;
3.客户端在接收到服务端的SYN+ACK报文后,也会返回一个ACK报文给服务端,同样TCP序列号加一,TCP连接就建立好了。
DNS Query Flood
UDP Flood攻击的一个变种。攻击的方法是向被攻击的服务器发送海量的域名解析请求。被攻击的DNS服务器在接收到域名解析请求后,首先会在服务器上查找是否有对应的缓存,当没有缓存,且该域名无法直接由改DNS服务器进行解析时,DNS服务器会向其上层DNS服务器递归查询域名信息,知道全球互联网的13根DNS服务器。
大量不存在的域名解析请求给服务器带来了很大负载,当解析请求超过一定量时,就会造成DNS服务器解析域名超时。
CC攻击
CC(Challenge Collapsar),是基于应用层HTTP协议发起的DDOS攻击,也被称为HTTP Flood。
攻击者通过控制大量的“肉鸡”或者利用从互联网搜寻的大量匿名的HTTP代理,模拟正常用户给网站发起请求知道该网站拒绝服务为止。
域名劫持
通过攻击域名解析服务器(DNS),或伪造域名解析服务器(DNS)的方法,把目标网站域名解析到错误的地址从而实现用户无法访问目标网站的目的。
1897
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
