【计算机网络】常见的 Web 安全问题原理及防御

最新推荐文章于 2024-06-16 17:45:00 发布
最新推荐文章于 2024-06-16 17:45:00 发布
阅读量560 收藏 1
点赞数
分类专栏: 计算机网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Dora_5537/article/details/98877083
版权

一、SQL 注入

SQL注入是一种众所周知的攻击,可以通过简单的措施轻松阻止。

1. SQL注入的原因

SQL注入的原因,是将查询参数,直接拼接在 SQL 语句中,然后把用户输入的字符串,当作 “SQL语句” 来执行。

2. SQL注入的防御

1)采用SQL语句预编译和绑定变量,是防御SQL注入的最佳方法。

即让SQL引擎预先进行语法分析,产生语法树,生成执行计划;这样,无论你后面输入的参数是什么,都不会影响SQL语句的语法结构,只会被当作字符串字面值参数。

2)在没有采用SQL语句预编译的场景下,可以严格检查查询参数的数据类型,还可以使用一些安全函数来防御SQL注入。

参考:SQL 注入防御方法总结

二、XSS和CSRF攻击

1. 定义

XSS(Cross Site Scripting跨站脚本):XSS定义的主语是“脚本”,是一种跨站执行的脚本,也就是Javascript脚本,指的是在网站上注入Javascript脚本,执行非法操作。 

XSS攻击发生的条件是可以在网站上执行Javascript脚本,一般在站点中总会有发表文章、留言等信息的表单,这种表单一般是写入到数据库中,然后在某个页面进行展示。我们可以在这些表单中直接编写Javascript代码(<script>alert("hack sucess!");</script>)进行测试,看是否可以执行。如果在信息展示页面Javascript代码可以执行,XSS攻击就成功了。

https://blog.csdn.net/l31299/article/details/72792613

CSRF(Cross-site request forgery跨站请求伪造):CSRF定义的主语是“请求”,是一种跨站的伪造的请求,指的是跨站伪造用户的请求,模拟用户的操作

站内CSRF攻击发生的条件是以XSS攻击为前提的。通过XSS攻击,可以获取到用户的cookie信息;那么就可以在Javascript代码中执行站内CSRF攻击,伪造用户请求。

跨站CSRF攻击:1)如果站点不存在XSS漏洞,就只能进行跨站攻击了,并且这种跨站攻击因为不能执行Javascript代码,相关参数只能通过 get 方式进行传递,如果参数的接收方式是 post 的话,可以防止这种攻击。2)举例来说,假设我们知道某个用户的邮箱,我们给他发送一封html格式的邮件,邮件内容包含了一个隐藏的img标签<img src="http://www.sitename.com/delete/id/23" style="display:none">。如果用户站点保持登录状态的情况下打开这封邮件,也能成功执行删除操作。即实现了跨站CSRF攻击,因为这次的请求是从用户查看邮件的地址发出的,所以是"跨站的"。

2. 防御

XSS攻击的防御可以通过以下两方面操作: 
1)对用户表单输入的数据进行过滤,对 Javascript 代码进行转义,然后再存入数据库。 
2)在信息的展示页面,也要进行转义,防止 Javascript 在页面上执行。

CSRF攻击的防御可以通过以下两方面操作: 
1)所有需要用户登录之后才能执行的操作属于重要操作,这些操作传递参数应该使用 post 方式,更加安全。 
2)为防止跨站请求伪造,我们在某次请求的时候都要带上一个csrf_token参数,用于标识请求来源是否合法,csrf_token参数由系统生成,存储在SESSION中。

参考:浅析XSS和CSRF攻击及防御

三、暴力破解

举例分析:对手机验证码进行暴力破解和防御。

1. 定义

假设 1)用户可以通过手机号+验证码的方式进行登录;2)验证码为4位数字(0001~9999中间的一个),有效期为1小时。那么我们只要在1小时内一个个地试验,肯定有一次能输入正确,即为暴力破解。

2. 暴力破解方法:

1)如果已知登录请求的接口地址URL及参数名称,那么我们就可以在浏览器的控制台不断发送请求,直到成功。

2)抓包工具Fiddler,只需要对Request Body中的txtPhoneCode进行修改就好了,不需要写9999个请求那么麻烦。

3)密码破解工具,只需要输入相应的规则,该工具会自动发送请求,直到成功。

3. 暴力破解防御:

就以本文案例来说,加长这个短信验证码的长度,本来是4位,我们可以变成6位。对IP进行限制,在该IP下规定时间内出现错误超过3次,则封停24小时。对手机号做限制,如果第一次输入错误,则延长10秒进行登录,第二次输入错误则延长1分钟才能进行登录,依次类推。

参考:web安全:通俗易懂,以实例讲述破解网站的原理及如何进行防护!如何让网站变得更安全。

四、DDOS攻击

1. 定义

对攻击网站发动大量的正常或非正常请求,耗尽目标主机资源或网络资源,从而使被攻击的主机不能为合法用户提供服务,这个就属于DDOS攻击。

2. 防御

对于DDOS攻击,建议买高防的DDOS服务器就可以了。

参考:web安全:通俗易懂,以实例讲述破解网站的原理及如何进行防护!如何让网站变得更安全。

END

Dora_5537
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
常见WEB漏洞原理分析及防护
08-22
常见WEB漏洞原理分析及防护,如何防御web漏洞攻防技术
常见Web应用的漏洞总结(原理、危害、防御
热门推荐
空心菜的博客
04-15 1万+
一、 SQL注入(SQL Inject)[OWASP TOP1 2017]: 二、 XSS(Cross-site Script)[OWASP TOP7 2017] 三、 上传漏洞 四、 文件解析漏洞 五、 CSRF(Cross-Site Request Forgery) 六、 DDos攻击 分布式拒绝服务(Distributed Denial of service Attack) ...
浅析常见WEB安全漏洞及其防御措施
白帽黑客佳哥的博客
06-16 593
在网络攻防中,Web系统通常是攻击者的首选目标,攻击者大都通过Web打点的方式,先拿到边界Web服务器的权限,再以此为跳板实施内网横向渗透。由于Web系统通常涉及大量的用户数据和敏感信息,一旦受到攻击或破坏,可能造成数据泄露、服务中断等影响。相较于攻击方,Web系统也是防守方的重点防护对象。作为安全开发或安全运营人员,及早发现和修复潜在的WEB安全漏洞,不仅有助于提高互联网业务系统的稳定性,也能降低后期安全运营工作的压力和成本。
前端面试整理笔记一
weixin_30535167的博客
03-26 166
一、常见web安全防护原理1.sql注入原理就是通过把sql命令插入到web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。防护,总的来说有以下几点:1、永远不要信任用户的输入,要对用户的输入进行校验,可以通过正则表达式,或限制长度,对单引号双“--”进行转换等。2、永远不要使用动态拼装sql,可以使用参数化的sql或者直接使用存储过程进行数据查询存取。3、永...
常见web安全防护原理
LuckXinXin的博客
05-31 816
1. sql注入原理 就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令 2. 总的来说有以下几点 永远不要信任用户的输入,要对用户的输入进行校验,可以通过正则表达式,或限制长度,对单引号和双"-"进行转换等 永远不要使用动态拼装SQL,可以使用参数化的SQL或者直接使用存储过程进行数据查询存取 永远不要使用管理员权限的数据库连接,为每个应用使用单独的权限有限的数据库连接 不要把机密信息明文存放,请加密或者hash掉密码和敏感的信息 3. XSS
计算机网络安全实验》实验报告1
11-01
计算机网络安全实验】实验报告1主要探讨了DVWA(Damn Vulnerable Web Application)中的PHP与MySQL环境下的SQL注入漏洞。该实验旨在让学生理解和掌握SQL注入的原理、利用方法以及防御措施。以下是实验涉及的主要...
计算机网络安全实验》实验报告2
11-01
总的来说,这个实验报告提供了关于反射型XSS漏洞的深入理解,包括其工作原理、危害、检测方法以及防御策略,有助于提升对计算机网络安全的认识。通过实际操作,学生能更好地掌握如何发现和防止这类常见Web应用程序...
网络安全原理与应用:网络安全产品简介.pptx
05-16
了解常见的网络安全产品; 了解常见的网络安全产品的类型; 网络安全产品简介 一、网络安全产品简介 网络安全产品简介 一、网络安全产品简介 部署在网络出口,通过监测、限制、更改跨越防火墙的数据流,尽可能地对...
计算机网络》学习笔记
最新发布
07-26
计算机网络:自顶向下方法》是James F. Kurose和Keith W....作者不仅介绍了常见安全威胁和防御策略,还探讨了如何利用新技术如软件定义网络(SDN)和网络功能虚拟化(NFV)来提升网络的可靠性和灵活性。
计算机网络安全技术:最低有效位LSB隐写.pdf
05-12
计算机网络安全技术中,最低有效位LSB(Least Significant Bit)隐写是一种常见的数据隐藏方法,主要应用于信息安全领域,尤其在图像文件中。这种方法利用人类视觉系统对于颜色差异的不敏感性,将秘密信息嵌入到图像...
今日面试题
weixin_72701751的博客
07-21 1109
TCP和UDP的区别 TCP(Transmission Control Protocol,传输控制协议)是基于连接的协议,也就是说,在正式收发数据前,必须和对方建立可靠的连接。一个TCP连接必须要经过三次“对话”才能建立起来 UDP(User Data Protocol,用户数据报协议)是与TCP相对应的协议。它是面向非连接的协议,它不与对方建立连接,而是直接就把数据包发送过去! UDP适用于一次只传送少量数据、对可靠性要求不高的应用环境。 说说你对作用域链的理解 作用域链...
常见web安全防护原理
liu0415111的博客
03-18 8518
写在前边最近想整理一下这方面的一些知识,所以专门查阅了一些资料,跟大家一块儿共享一下。如果有说的不对的地方,欢迎大家指出。sql注入原理相信很多同学应该都会听过这个,具体就是通过把sql命令插入到web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意sql命令防范1.永远不要信任用户的输入,要对用户的输入进行校验,可以通过正则表达式,或限制长度,对单引号和双"-"进行转换等。2.
常见web安全问题概念介绍以及防御方法
翾的博客
06-30 1276
XSS ( 跨站脚本攻击 ) 定义: 通过恶意攻击者往WEB页面插入恶意JS代码, 当用户浏览, 嵌入的代码会被执行, 达到恶意攻击用户控制浏览器的目的. xss是代码注入的一种. 分类 反射型 攻击者将跨站代码写在链接中, 受害者请求这种连接时, 跨站代码经过服务端反射回来触发, 此类代码不会存储到服务端. 存储型 攻击者将恶意数据存储到服务端的数据库中, 服务器脚本从数据库中获取该...
常见web安全问题防御
cynwang的博客
09-02 2164
sql注入原理 就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 总的来说有以下几点: 1.永远不要信任用户的输入,要对用户的输入进行校验,可以通过正则表达式,或限制长度,对单引号和双"-"进行转换等。 2.永远不要使用动态拼装SQL,可以使用参数化的SQL或者直接使用存储过程进行数据查询存取。 3.永远不要使用管理员权限
Web安全深度指南:从信息收集到防御技术
"保姆级-web安全文档.pdf" 是一份详细阐述Web安全的综合指南,涵盖了从基础的网络概念到深入的攻击与防御技术。作者Lyle在2022年01月09日发布了这个1.0版本,旨在帮助读者理解和应对日益严峻的网络安全挑战。 文档...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值