web常见的安全漏洞与防范

最新推荐文章于 2024-05-11 21:09:30 发布
最新推荐文章于 2024-05-11 21:09:30 发布
阅读量969 收藏
点赞数
文章标签: 前端 javascript html
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Android062005/article/details/125547793
版权

web常见的安全漏洞基本分为XSS、CSRP、点击劫持、SQL注入这4种情况

xss

xss(Cross-site-Script, 跨站脚本攻击),因为缩写和css重叠,所以只好叫为xss。

什么是?

通过存在安全漏洞的web网站注册用户的浏览器内运行非法的非法站点Html或js进行的一种攻击

影响

  • 利用虚假输入表单骗取用户的信息
  • 利用脚本窃取用户的cookie值,被害者在不知情的情况下,帮助攻击者发送恶意的请求
  • 显示伪造的文章或者图片

分类

  • 反射型-URL参数直接注入

eg:
1)http://location:3000/?from=<script>alert(3)</script>;
2) 获取Cookie:http://localhost:3000/?from=<script src="http://localhost:4000/hack.js"> </script>
3) 短域名伪造:https://dwz.cn/

  • 存储型-存储到DB后读取注入

eg:
1)评论等输入框输入:
2) 跨站脚本注入:我来了<script src="http://localhost:4000/hack.js"></script>

危害

1)获取页面数据;
2)获取cookies;
3) 劫持前端逻辑;
4)发送请求;
5)偷取网站的任意数据;
6)偷取用户资料;
7)偷取用户的秘密和登录态;
8)欺骗用户;

防范

HEAD

ctx.set(‘x-xss-protection’,0);
0:禁用xss过滤;
1:启用xss过滤;如果检测到攻击,浏览器将清除页面(删除不安全的部分)(通常浏览器是默认的) 大多数浏览器框架都进行的安全普通的安全过滤,如,xss; 启用过滤:
1:mode=block 检测到攻击,浏览器不会清除页面,而是阻止页面加载;
2:report=(Chromium only)
检测到跨站脚本攻击,浏览器清除页面并使用CSP report-uri指令的功能发送违规报告;

其他内容,直接上思维导图

因为这块内容写下来比较多,所以直接上图,更加一目了然,对于web常见的安全漏洞与防范,我整理了一个思维导图,如下:
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-xAQiCmDn-1656592295055)(https://p6-juejin.byteimg.com/tos-cn-i-k3u1fbpfcp/8bb1e31ab10e410e9bc89bb85f60a605~tplv-k3u1fbpfcp-zoom-in-crop-mark:1956:0:0:0.image?)] 最后:不要问我为什么一开始不直接上思维导图,我也想,只因为字数不够😝

梅花十三儿
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Web安全漏洞及安全防护
学以致用 知行合一
05-17 3009
搭建一个Web应用不仅要考虑其功能与性能的完善性,更要考虑其安全性。Web应用搭建好以后,在暴露于外网的情况下是否是安全的?是否会遭受攻击者的攻击?是否对敏感数据、敏感代码及敏感后台等敏感信息都进行了安全防护?若这些都做到了,是否就万无一失了?若出现了网络攻击事件,是否又有人愿意为其买单? 攻防是一个不断演进的对抗过程。随着黑客攻击技术的发展,其危害足以使一个正常运行的网站遭受灭顶之灾。为了保障Web系统的正常运行,网站所有者及运维人员均希望通过良好的防护手段,抵御来自互联网的攻击行为。...
九大web漏洞及防范方法
Zichel77的博客
06-06 1188
SQL注入漏洞 简介 SQL注入攻击(Injection),广泛用于非法获取网站控制权,是发生在应用程序的数据库层上的安全漏洞。在设计程序时,忽略了输入字符串中夹带的SQL指令的检查,被数据库误认为是正常的SQL指令而运行,从而使数据库受到攻击,导致数据被窃取、更改、删除,以及进一步导致网站被嵌入恶意代码,被植入后门程序等。 常见SQL注入的位置 表单提交(POST请求,GET请求) URL参数提交(GET请求参数) Cookie参数提交 HTTP请求头部的一些可修改的值,比如Referer、User_A
2024年网络安全最全web安全安全入门常见方式和防范方法_web安全认证方式csdn(5),网络安全中高级面试题
最新发布
m0_60691292的博客
05-11 533
我们作为一个工程师,尤其是作为一个前端工程师,是离用户最近的,我们要做的不仅仅是把页面呈现给用户,更应该从用户角度考虑,安全问题是一个非常重要的问题,值得我们特别注意,在以后的工作中尤为注意。
Web安全:常见的安全问题及防范措施
shandongjiushen的博客
12-09 2138
警惕安全问题,防止信息裸奔!
十大常见web漏洞及防范
怎奈你何的博客
10-22 2887
常见web漏洞
十二个常见Web安全漏洞总结及防范措施
A_991128a的博客
07-05 1151
本篇文章部分摘要自《OWASP Top 10 2017》。OWASP,开放式Web应用程序安全项目(Open Web Application Security Project)是一个组织,它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。其目的是协助个人、企业和机构来发现和使用可信赖软件。
常见Web安全漏洞与防御.pptx
11-07
非常好的一个ppt,对常见安全漏洞进行了整理,描述了各种安全漏洞的原理,并作举例说明,并给出了防御方案。 可用于培训讲座。 资料难得,共享给大家
程序员常见WEB安全漏洞2022优秀文档.pptx
11-14
程序员常见WEB安全漏洞2022优秀文档 在这个优秀的文档中,我们将讨论程序员常见Web安全漏洞,包括SQL注入攻击和跨站脚本攻击(XSS)。这两个漏洞都是非常常见Web安全漏洞,对于程序员来说非常重要。 SQL注入...
Web应用程序常见漏洞CSRF的入侵检测与防范
03-01
互联网的安全问题一直存在,并且在可预见的未来中没有消弭的迹象...跨站请求伪造(CSRF)的是Web应用程序一种常见的漏洞,其攻击特性是危害性大但非常隐蔽,尤其是在大量Web2.0技术的应用的背景下,CSRF攻击完全可以在
web中间件常见漏洞总结.pdf
12-14
然而,由于其复杂性和广泛的使用,Web中间件也成为了攻击者的目标,存在多种可能的安全漏洞。以下是对这些常见漏洞的详细总结: 1. **SQL注入**:当Web应用未能正确过滤或转义用户输入的数据时,攻击者可以插入恶意...
localhost:3000 拒绝访问解决办法
云端-公子清
07-07 8292
解决如下:启动react,localhost:3000拒绝访问
常见WEB安全漏洞及解决方案
07-27
本资料由IBM Rational Appscan提供。 整理了常见web安全漏洞,同时IBM还提供了asp\java\Php多种安全解决方案。 本人精心整理出来,特此共享。
Web常见安全问题及解决方法
javagty6778的博客
02-22 433
随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业安全问题的高危据点。最近梳理了常见前端安全问题以及对应的解决方案,希望可以帮助大家在日常开发中不断预防和修复安全漏洞
CSRF及SSRF漏洞
weixin_52657559的博客
12-06 506
CSRF和SSRF漏洞原理,以及如何查找进行利用
常见web安全漏洞介绍
xunyunai9767的博客
11-16 2642
介绍常见web漏洞,参考OWASP top10漏洞,pikachu靶场
常见Web安全漏洞及其防御
10-24 1436
常见Web安全漏洞及其防御 1.1 XSS攻击 1.1.1 什么是XSS攻击手段 XSS攻击其实就是使用Javascript脚本注入进行攻击,因为浏览器默认支持脚本语言执行,如果在表单提交的时候,提交一些脚本参数,浏览器可能就直接执行了 攻击常见与论坛的评论 例如“提交表单后,展示到另一个页面”这个功能,可能会受到XSS脚本注入,本地cookie被读取,远程发送给黑客服务器端,然后可以伪造来发起请...
常见web漏洞及其防范
热门推荐
恒之传说
08-04 1万+
一、SQL注入漏洞 SQL注入攻击(SQL Injection),简称注入攻击、SQL注入,被广泛用于非法获取网站控制权,是发生在应用程序的数据库层上的安全漏洞。在设计程序,忽略了对输入字符串中夹带的SQL指令的检查,被数据库误认为是正常的SQL指令而运行,从而使数据库受到攻击,可能导致数据被窃取、更改、删除,以及进一步导致网站被嵌入恶意代码、被植入后门程序等危害。 通常情况下,SQL注入的位...
web安全安全入门常见方式和防范方法
liuhyusb的博客
03-23 108
web安全安全入门常见方式和防范方法
浅谈常见web攻击以及如何防范
HongHu-ing的博客
06-08 616
浅谈常见web攻击以及如何防范
Web安全:逻辑漏洞解析与防范策略
"Web安全测试中常见逻辑漏洞解析" 在Web应用中,逻辑漏洞是一个重要的安全隐患,它们往往不涉及传统意义上的代码注入或权限绕过,而是与应用的业务逻辑相关。以下是对这些漏洞的详细解析和预防策略: 1. 订单金额...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值