本文概述了WEB网站面临的常见攻击手段,如XSS、CSRF和SQL注入,强调了攻击原理,以及如何通过过滤用户输入、加强验证、安全编码等措施来有效应对这些威胁。
WEB网站因数量众多,涉及面广,攻击手段多样,而成为互联网中最易被攻击的对象。
现对几种典型的WEB网站攻击手段的原理和应对措施进行总结,涉及XSS跨站脚本攻击、CSRF跨站请求伪造、SQL注入攻击;
| 常见攻击类型 | 攻击原理与要点 | 应对措施 | |
| 1 | XSS跨站脚本攻击 | WEB程序未对用户输入的内容进行过滤,把恶意代码(包括HTML代码、Script脚本)注入到其他用户浏览器显示的页面上执行。 | 1)对用户输入内容进行过滤控制或编码; 2)针对窃取Cookie情形-可将Cookie信息的Http Only设置为true。此时Cookie只能被http请求读取,不能被JavaScript脚本采集; |
| 2 | CSRF跨站请求伪造 | 1.冒充合法用户跨站发起WEB访问请求;2.利用WEB应用系统Session会话认证机制存在的漏洞; | 1)增加验证码或令牌认证; 2)对访问请求来源进行检查; |
| 3 | SQL注入攻击 | 针对网站数据库的安全威胁,其利用了Web应用程序未能对用户输入内容进行安全过滤的缺陷,通过精心设计的字符串实现数据库的非法访问或执行恶意命令。 | 1)过滤单引号; 2)在构造动态SQL语句时,使用类安全(type-safe)的参数编码机制; 3)禁止将敏感数据以明文方式存放在数据库中; 4)遵循最小化权限原则; 5)尽量不使用动态拼装的SQL,可使用参数化的SQL或直接使用存储过程进行数据查询存取; |
扫一扫
428
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
