3.XSS
url注入
存储到DB后读取注入
XSS攻击注入点
- HTML节点内容
- HTML属性
- js代码
- 富文本
解决
白名单 转义 CSP
案例
富文本框里写<script>
- QQ空间发布动态, QQ好友查看后 盗取cookie
- 评论里写脚本
- 提交订单里包含脚本,后台人员登录后盗取cookie
4.CSRF
在一个页面里攻击另一个网页 本质是执行一段ajax带上要攻击的iframe了
解决
验证码 csrf token 验证referer
6.点击劫持
解决
判断top.location === window.location; top === window
js禁止内嵌
x-frame-options禁止内嵌
7.传输安全
方案
tsl(传输层协议) == SSL 常见https
8.密码安全
加密(md5)
9.SQL注入
方案
- 关闭错误输出
- 检查数据类型
- 对数据转义
- 通用查询避免被注入
10.上传文件漏洞
上传文件,再次访问文件,上传的文件被当成程序解析
方案
- 限制上传后缀
- 文件内容的检查
- 程序输出
- 权限控制 - 可写可执行互斥
12.DOS拒绝服务公司
- 模拟正常用户
- 大量占用服务器资源
- 无法服务正常用户
- TCP半连接
- http连接
- dns
有限的方案
- 防火墙
- 交换机、路由器
- 流量清洗
- 高防IP(云厂商)
预防
- 避免重逻辑业务(耗时任务(不直接交互) 产生一个异步任务 去排队处理)
- 快速失败快速返回
- 防雪崩机制
- 有损服务(我允许我的服务核心可用)
- CDN(静态文件减少负载)