常见的web攻击及解决方式

最新推荐文章于 2022-07-31 02:06:07 发布
最新推荐文章于 2022-07-31 02:06:07 发布
阅读量367 收藏
点赞数
分类专栏: 拓展知识 文章标签: web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/GP_666/article/details/80077325
版权

1. CSRF (cross-site request forgery)跨站请求伪造

一句话概括:

当用户浏览器同时打开危险网站和正常网站,危险网站利用图片隐藏链接,或者js文件操纵用户生成错误请求给正常网站。此时因为用户会携带自己的session验证。危险网站发出的请求得以执行。

根本原因:web的隐式身份验证机制
解决办法: 为每一个提交的表单生成一个随机token, 存储在session中,每次验证表单token,检查token是否正确。

2. XSS (cross site script)跨站脚本攻击

一句话概括:

网站对提交的数据没有转义或过滤不足,导致一些代码存储到系统中,其他用户请求时携带这些代码,从而使用户执行相应错误代码

例如在一个论坛评论中发表:

<script>alert('hacked')</script>

这样的话,当其他用户浏览到这个页面,这段js代码就会被执行。当然,我们还可以执行一些更严重的代码来盗取用户信息。
解决办法: 转移和过滤用户提交的信息

3. session攻击,会话劫持

一句话概括:

用某种手段得到用户session ID,从而冒充用户进行请求

原因: 由于http本身无状态,同时如果想维持一个用户不同请求之间的状态,session ID用来认证用户
三种方式获取用户session ID:

  1. 预测:PHP生成的session ID足够复杂并且难于预测,基本不可能
  2. 会话劫持: URL参数传递sessionID; 隐藏域传递sessionID;比较安全的是cookie传递。但同样可以被xss攻击取得sessionID
  3. 会话固定: 诱骗用户使用指定的sessionID进行登录,这样系统不会分配新的sessionID

防御方法:

  • 每次登陆重置sessionID
  • 设置HTTPOnly,防止客户端脚本访问cookie信息,阻止xss攻击
  • 关闭透明化sessionID
  • user-agent头信息验证
  • token校验
GP_宣泄笔记
关注
专栏目录
Web前端攻击方式及防御措施
少女心の程序媛
02-28 6379
一、XSS 【Cross Site Script】跨站脚本攻击 恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 1、Reflected XSS 基于反射的XSS攻击,主要依靠站点服务端返回脚本,在客户端触发执行从而发起Web攻击Web客户端使用Server端脚本生成页面为用户提供数据时,
常见web攻击手段及防御措施
qq_36737839的博客
12-30 1353
CSRF 攻击:跨站请求伪造 跨站请求伪造 CSRF (Cross-site request forgery),是一种挟制用户在当前已登录的 Web 应用程序上执行非本意操作的攻击方法。 ​ 它利用用户已经登录的身份信息,在用户无感的情况下,以用户的名义完成操作。 攻击流程 ​ 一次 CSRF 攻击发生的过程可能是这样: ​ 我们来简述一下图示流程: ​ A. 用户 A 登录购物网站 http://www.example.shop,并获取到 cookie。 ​ B. 攻击者事先知道该购物网站
web攻击方法及防御总结
weixin_33881041的博客
04-16 371
1. CSRF (cross-site request forgery)跨站请求伪造 一句话概括: 当用户浏览器同时打开危险网站和正常网站,危险网站利用图片隐藏链接,或者js文件操纵用户生成错误请求给正常网站。此时因为用户会携带自己的session验证。危险网站发出的请求得以执行。 根本原因:web的隐式身份验证机制解决办法: 为每一个...
WEB攻击手段及防御第2篇-SQL注入
weixin_34179762的博客
08-13 214
概念 SQL注入即通过WEB表单域插入非法SQL命令,当服务器端构造SQL时采用拼接形式,非法SQL与正常SQL一并构造并在数据库中执行。 简单的SQL注入的例子: 例1:test123456 or 1=1; 加上or 1=1,如果没有防止SQL注入,这样攻击者就能成功登录。 例2:test123456';d...
web攻击方式和防御方法
weixin_33733810的博客
01-20 153
在http请求报文中载入攻击代码,就能发起对web应用的攻击。通过url查询字段或者表单、http首部、cookie等途径吧攻击代码传入,若这时web应用存在安全漏洞,那内部信息就会遭到窃取! 对web攻击模式有两种: 主动攻击(主动攻击server)被动攻击(上传木马程序,用户訪问时触发http陷阱) 实施的安全策略主要分为两步: c...
简单了解:Web前端攻击方式及防御措施
b741759587的博客
09-04 222
一、XSS 【Cross Site Script】跨站脚本攻击 恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 1、Reflected XSS(反射型攻击:非持久型,多出现于搜索页面) 基于反射的XSS攻击,主要依靠站点服务端返回脚本,在客户端触发执行从而发起Web攻击。W...
WEB前端常见攻击方式解决办法总结
10-15
WEB前端常见攻击方式解决办法】 WEB前端的安全问题不容忽视,因为它直接影响到用户的个人信息安全和网站的正常运行。本文主要关注四种常见攻击方式及其防范措施:SQL注入、跨站脚本攻击(XSS)、跨站请求...
常见的六种web攻击及防御
lyn1772671980的博客
07-14 1908
前言 在互联网时代,数据安全与个人隐私受到了前所未有的挑战,各种新奇的攻击技术层出不穷。如何才能更好地保护我们的数据?本文主要侧重于分析几种常见攻击的类型以及防御的方法。 想阅读更多优质原创文章请猛戳GitHub博客。 一、XSS XSS (Cross-Site Scripting),跨站脚本攻击,因为缩写和 CSS重叠,所以只能叫 XSS。跨站脚本攻击是指通过存在安全漏洞的Web网站注册用户的浏览器内运行非法的HTML标签或JavaScript进行的一种攻击。 跨站脚本攻击有可能造成以下影响:
Web系统常见安全漏洞介绍及解决方案-XSS攻击
web15286201346的博客
07-31 1801
跨站脚本攻击(CrossSiteScript),为了和众所周知的样式表CSS进行区分,它在安全领域简称XSS。xss攻击是由于Web应用程序对用户的输入过滤不足而产生的。攻击者利用网站漏洞把恶意的脚本代码注入到网页之中,当其他用户浏览这些网页时,就会执行其中的恶意代码,对受害用户可能采取Cookie资料窃取、会话劫持、钓鱼欺骗等各种攻击。在一开始,这种攻击的案例通常是跨域的,所以叫做跨站脚本攻击。之后得到的提示信息。在CSDN的搜索框随意输入了xss根据效果的不同可以分为以下几类反射型XSS。...
Web系统常见安全漏洞介绍及解决方案-CSRF攻击
m0_54861649的博客
07-28 1365
CSRF跨站请求伪造,全称Cross-siterequestforgery,是指利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账、改密等)。CSRF是Web安全中最容易被忽略的一种攻击方式,但某些时候却能产生强大的破坏性。...
利用ASP.NET的内置功能抵御Web攻击
02-27
摘要:Dino总结了最常见Web攻击类型,并介绍了Web开发人员可以如何使用ASP.NET的内置功能来改进安全性。本页内容ASP.NET开发人员应当始终坚持的做法威胁的来源ViewStateUserKeyCookie和身份验证会话劫持EnableViewStateMacValidateRequest数据库角度隐藏域电子邮件和垃圾邮件小结ASP.NET开发人员应当始终坚持的做法如果您正在阅读本文,可能就不需要再向您灌输Web应用程序中的安全性愈来愈重要这一事实了。您需要的可能是一些有关如何在ASP.NET应用程序中实现安全性的实际建议。坏消息是,没有任何开发平台—包括ASP.NET在内—能够保
WEB攻击与防御(一)
stsfang
04-06 253
直奔主题 最近为应对面试,翻山倒海,重新回顾了web安全与防御,为此做一篇简单的笔记。 常见攻击及防御 CSRF攻击 【介绍】 CSRF攻击即跨站域请求伪造,例如,小明在浏览银行A网站的时候并没有关掉银行网站,这时小明又访问了携带CSRF攻击的B网站,而这时候B网站通过对银行的服务器发送转账请求,并且携带小明的在银行网站的cookie信息,在参数上把小明账号上的钱转到B网站所有...
web攻击和防御措施
weixin_33725272的博客
04-17 229
1、SQL注入:参照下面的链接 http://www.cnblogs.com/chenhaoyu/p/8758888.html 2、跨网站脚本攻击(Cross Site Scripting, XSS)   攻击者将恶意代码注入到网页上,其他用户在加载网页时就会执行代码,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。这些恶意代码...
常见WEB攻击及防御技术
向着高亮的地方
06-12 1076
常见WEB攻击及防御技术 一、XSS攻击   【介绍】   xss攻击是跨站脚本攻击,例如在表单中提交含有可执行的javascript的内容文本,如果服务器端没有过滤或转义这些脚本,而这些脚本由通过内容的形式发布到了页面上,这个时候如果有其他用户访问这个网页,那么浏览器就会执行这些脚本,从而被攻击,从而获取用户的cookie等信息。   【防御】   1、对于敏感的cookie信息...
常见web攻击与防御策略
m18625221362的博客
01-29 1865
1.XSS 说明: XSS攻击全称 跨站脚本攻击(Cross Site Scripting),是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS. XSS简单分为反射型、存储型(DOM型属于反射型的一种),其本质上是HTML注入,简单来说就是通过某种手段引诱受害者(用户)信任该脚本(或网站),进而可以使攻击方的代码在客户端
面试题整理 常见WEB攻击手段及其防御方式
beyond
06-30 2125
常见WEB攻击手段 - XSS (跨站脚本攻击) - DDos 分布式拒绝服务,【发送大量请求,使服务器瘫痪】 - CSRF 跨站请求伪造 【用户本地存储cookie,攻击者利用用户的cookie进行认证,然后伪造用户发出请求】 SQL注入 【通过用户输入,拼接成恶意sql, 并执行】 防御方式 XSS 客服端及服务端用户的输入数据进行双重验证 对所有的数据进行适当的编码 设...
常见的几种web攻击和应对措施
Grimm的博客
08-18 432
web网站中常见攻击手法与原理
热门推荐
如故的博客
06-20 1万+
web网站中常见攻击手法与原理 01, 跨站脚本攻击(xss) 恶意攻击者通过往Web页面里插入恶意html代码,当用户浏览该页时,嵌入Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。 分析一下xss的特点: 1、耗时间 2、有一定几率不成功 3、没有相应的软件来完成自动化攻击 4、前期需要基本的html、js功底,后期需要扎实的html、js...
"深度分析Web认证流程及常见问题解决
总的来说,这份报告对Web认证流程及常见问题进行了全面的分析和讨论,为理解认证技服、解决认证问题提供了有益的参考和指导。它为网络运营商、网络管理员以及广大用户提供了一些有益的思路和方法,有助于改进网络...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值