Web攻击
是针对用户上网行为或者网站服务器等设备进行攻击的行为;
如植入恶意代码,修改网站权限,获取网站用户隐私信息等等
如何防御?
1.XSS:跨站脚本攻击
重点不在于跨站点,而在于脚本的执行;是由于web应用程序对于用户的输入过滤不足出现的;
(1)原理:页面渲染的数据中包含可运行的脚本
(2)攻击的基本类型:反射型(url参数直接注入)和存储型(存储带DB后读取时注入)
反射型一般需要欺骗用户点击才触发,一般出现在搜索页面;大多用来盗取用户的cookie信息
DOM型不经过后端,通过url传入参数控制触发;
存储型恶意代码存储在服务器中,一般是个人信息或者发表文章的地方,用户访问页面就会触发;
(3)注入点:html节点内的内容;html中dom元素的属性;js代码;富文本
2.CSRF:跨站请求伪造
(1)原理:在第三方网站向本网站发起请求
3.点击劫持
(1)原理:第三方网站通过iframe内嵌某一个网站,并且将iframe设置为透明不可见,将其覆盖在其他经过伪装的DOM上,伪装的可点击DOM(按钮等)与实际内嵌网站的可点击DOM位置相同,当用户点击伪装的DOM时,实际上点击的是iframe中内嵌的网页的DOM从而触发请求操作