网络攻击与安全

最新推荐文章于 2022-07-29 00:42:08 发布
最新推荐文章于 2022-07-29 00:42:08 发布
阅读量291 收藏 1
点赞数
文章标签: 网络安全 ddos xss https
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/caihongjianke/article/details/86432056
版权

网络攻击与安全

  • 分布式拒绝服务攻击(DDOS攻击)
    利用客户/服务器技术,主控程序能在几秒钟内激活成百上千次代理程序的运行,该攻击方式利用目标系统网络服务功能缺陷或者直接消耗其系统资源,使得该目标系统无法提供正常的服务

  • sql注入攻击

  • 图片注入攻击
    通常网站做图片上传只对后缀名进行判断,就会有不法分子把恶意脚本改成jpg格式或者把脚本放入图片中,图片能正常显示,但恶意脚本执行起来就会造成系统安全问题

  • xss攻击
    XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中,比如把一段恶意的js脚本放到提交信息中最终会保存在服务器数据库中

数据加密传输

  1. 使用我们自定义的规则进行加密
    比如前台内容把密码反着传到后台,后台知道规则再反过来。这样很不安全,因为加密规则写在前端js中,查看网页源代码找到js就知道了加密规则

  2. 对称加密算法
    前台后台进行加密和解密的密钥是相同的,这样需要大量的密钥,后台不好管理秘钥池。而且只要拿到密钥就能进行破解

  3. 非对称加密算法(RSA)
    公钥和私钥,公钥加密只能用私钥来解,反之亦然。是通过两个素数相乘但是不好进行因式分解的原理来实现的
    通常用于两种情况:

  • 公钥加密,私钥解密
  • 私钥签名,公钥判断身份

这个算法也有缺点,那就是只要拿到私钥,所有的密文都会统一解密

https

HTTPS,超文本传输安全协议,是以安全为目标的HTTP通道,简单讲是HTTP的安全版。
即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL/TLS
注意在程序中:https的体现在于浏览器与tomcat服务器之间的交互,安全证书可以在tomcat中配置,这样可以返回给浏览器一个自己颁发的证书

  • 主要作用可以分为两种:一种是建立一个信息安全通道,来保证数据传输的安全;另一种就是确认网站的真实性,凡是使用了 https 的网站,都可以通过点击浏览器地址栏的锁头标志来查看网站认证之后的真实信息,也可以通过 CA 机构颁发的安全签章来查询

  • https原理

  1. 浏览器将自己支持的加密规则(ssl版本,,支持的加密算法种类,hash算法种类)发送给网站
  2. 网站确定加密算法与hash算法,并将网站的身份信息以(ssl证书)的形式返回给浏览器
  3. 浏览器接受网站发来的证书并执行操作:
    1. 验证网站发送证书的合法性,包括CA机构的合法性,以及被授权的站点与当前站点是否一致。如果一致,此时浏览器已经信任该站点,接下来需要确定加密的Random值
      浏览器发送信息:
      a. 浏览器生成一个随机数,并用证书中的公钥进行加密,生成密文A
      b. 浏览器生成一个握手信息(一个随机字符串),使用hash算法算出字符串对应的hash值,并用随机数对握手信息加密(密文B),将所有相关信息发送给网站
      网站接受信息:
      a. 通过私钥解密密文A得到Random
      b. 使用random对加密的密文B进行解密,拿到握手信息
      c. 通过hash算法计算握手信息,得到一个hash值,比对此hash值与浏览器传来的hash值
      d. 用同样的密码(random)也加密一段随机生成的握手信息并返回给浏览器
      浏览器再次接收信息:
      e. 以相同的方式去解密拿到hash值并比对,如果一致完成握手协议(双向确认,网站确认一次,浏览器又确认一次保证random无误)
  4. 之后的所有浏览器和服务器之间的交互都是通过这个密码(random)进行加密和解密
  5. 整个过程出现任何错误,浏览器和网站的连接断开

基于数据库的加密

有些时候确实不法分子进入了数据库,如果能让他随意改动金额等等重要数据而平台又不知道,后果很可怕。

  • 针对于字符串类型

使用AES加密和解密,AES_ENCRIPT(str,keystr)加密,AES_DECRIPT(cryptstr,keystr)解密,其中keystr是自定义的一个字符串,加密解密保持一致就行

其中可能出现乱码,可以通过convert(str USING UTF-8)指定utf编码

  • 针对于数字型(不是绝对安全吗,如果不法分子了解了veryfycode的内含还是有机可承)
    不能阻止不法分子修改,但是可以使不法分子修改完数据会接收异常信息尽而无法继续进行,同时也可以采用定时器进行定时检查
    主要思路就是在比如账户表中加一个veryfycode字段,此字段是通过用户可用余额和冻结金额共同进行md5加密。那么在获取用户账户时会进行比对数据库中的verfycode,和当前查询到的经过加密后得到的veryfycode进行比对.注意数据库的veryfycode一定是被不法分子修改前得到的加密码,因为此时可用余额与冻结金额已经被修改了,得到的加密码肯定与数据库的veryfycode不一致,此时抛出异常这样不法分子就无法进行操作。当然这种错误无法被系统管理员察觉,通常配合定时器每天晚上检查一次veryfycode是否对应
彩虹剑客
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
网络攻击安全防御的分析论文.docx
09-30
网络攻击安全防御的分析论文.docx 在信息时代,网络已经成为社会发展的重要保证,但随着计算机网络技术的飞速发展,网络安全问题也日益严重。网络攻击已经成为威胁网络安全不可忽视的隐患。本论文对网络攻击与...
常见的网络安全攻击及防御技术概述
最新发布
2201_75362610的博客
03-22 2049
网络安全技术涉及从物理层到业务层的各个层面,贯穿产品设计到产品上线运营的全流程。现阶段网络攻击的方式和种类也随着互联网技术的发展而不断迭代,做好网络安全防护的前提是我们要对网络攻击有充分的了解。下文将抛砖引玉对常见的网络安全攻击及防御技术进行简单介绍。1、防拒绝服务攻击拒绝服务攻击可以理解为攻击者以消耗被攻击者可用资源为手段,以达到网络资源和系统资源消耗殆尽为目的,从而使被攻击者无法响应正常的业务请求。拒绝服务攻击是黑客常用的攻击手段之一,一般我们把拒绝服务攻击分为网络资源类和系统资源类。
网络安全-SSRF漏洞原理、攻击与防御
热门推荐
关注网络安全、云原生安全
09-05 2万+
概述 SSRF(Server-Side Request Forgery,服务器端请求伪造) 是一种由攻击者构造请求,由服务端发起请求的一个安全漏洞。一般情况下,SSRF是要目标网站的内部系统(因为他是从内部系统访问的,所以它能够请求到与它相连而与外网隔离的内部系统。)。 原理 SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能,且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容,加载指定地址的图片,文档等等。SSRF漏洞通过篡改获取资源的请求发送给服务器(服...
常见网络攻击与防御方法
一条整理笔记的咸鱼
07-29 2105
Xss,CSRF,DDos,Sql注入的概念以及防御手段
【期末复习】网络攻击与防御
不忘初心,护天下安全!
01-05 1万+
网络攻击技术 一、隐藏攻击者的地址和身份 1.IP地址欺骗或盗用技术:源IP地址为假冒或虚假 2.MAC地址盗用技术:修改注册表或使用ifconfig命令  3.通过Proxy隐藏技术:作为攻击跳板;实际上很难真正实现隐藏 4.网络地址转换技术:私有IP地址可以隐藏内部网络拓扑结构 5.盗用他人网络账户技术:网络安全链路中最薄弱的链接 二、踩点技术(Footprinting) 踩点...
网络安全网络攻击
每一个不曾起舞的日子,都是对人生的辜负。
10-25 1151
网络安全简介(CIA模式) 保密性:资料只对有授权的人,在授权的时间内,以审核的方式开放。 完整性:资料保证没有被篡改。 可用性:合法使用者可随时使用资料、资源以及服务。 保密性->认证技术 完整性->加解密技术 可用性->网络安全技术 网络攻击工具 SYN Flooder(IP+Port+Package num) 流光(扫描漏洞) IGMP NUKE(发送大packag...
计算机网络攻击安全防范技术
07-12
详细描述了具体的网络攻击方式,给出了应对不同网络攻击的方法。
中科院张玉清—网络攻击与防御ppt课件:第一章 网络安全概述
06-11
中科院张玉清—网络攻击与防御ppt课件:第一章 网络安全概述
网络攻击与防范图谱》,一图到底,打尽网络安全攻防全链条!
04-12
网络攻击与防范图谱》,一图到底,打尽网络安全攻防全链条! 本图谱从攻击前准备到攻击后痕迹擦除,梳理每一阶段所涉及的攻击手段,并针对性介绍防御方法及每种方法对应的产品与服务。 本图谱采用层层关联关系,...
网络攻击与防御期末考试知识点
qq_34175893的博客
03-16 1万+
Ch1-21.网络空间的理解:Cyberspace ,“第五空间”2.网络安全的属性?   除了保密性、完整性和可用性外,还增加:真实性、不可否认性3.    网络安全构成威胁的因素:l  环境因素,l  人为因素和l  系统自身因素(硬件软件协议的缺陷与漏洞),其中人为因素包括:恶意的(恶意攻击、违纪、违法和犯罪)和无意的(如工作疏忽造成失误、配置不当等)4.    软件漏洞产生的原因?(1) ...
网络安全攻击与防御知识导图
08-10
目前网络安全市场还处于快速发展期。据国家互联网应急中心披露,2016年国家信息安全漏洞共享平台(CNVD)共收录通用软硬件漏洞10822个,较2015年增长33.9%。其中,高危漏洞收录数量高达4146个(占38.3%),较2015年增长29.8%。
网络攻击与防范图谱
09-16
科来软件公司的网络攻防图谱: 攻击过程 攻击方法 防御方法 等
网络安全中常见的攻击方式及防御方法
Cinderellahh92的博客
12-03 2867
一.客户端攻击 1.XSS攻击 XSS攻击即跨站点脚本攻击(Cross Site Script),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。 它允许恶意web用户将代码植入到提供给其它用户使用的页面中。 类型 解释 反射型XSS攻击 简单说,就是要用户去点击,点了我才执行响应的命令。这种类型的XSS攻击是最常见的。 持久型XSS攻击 服务端已经接收了,并且存入数据库,当用户访问这个页面时,这段XSS
网络攻击方法分析与防范措施
askunix
05-13 2万+
推荐阅读(仅仅三页内容):常见网络攻击手段分析及防御原理 一个网站建立以后,如果不注意安全方面的问题,很容易被人攻击,下面我就总结几种常见的漏洞的简介与攻击原理分析 前奏: 什么是网络安全 黑客入侵技术的发展 攻击技术: 一、DoS攻击:   不是用DoS操作系统攻击,其全称为Denial of Service——拒绝服务。它通过协议方式,或抓...
网络安全:常见攻击手段及防御
qq_41866772的博客
07-19 8805
随着互联网的发展,网络安全日益显的尤为重要,接下来介绍一下常见的web攻击手段。 1.XSS攻击(Cross Site Scripting) 全称跨站脚本攻击 是一种常见的攻击手段之一,攻击者主要通过嵌入恶意脚本程序,当用户打开网页时,脚本程序便在客户端的浏览器中执行,以盗取客户端cookie,用户名密码,下载执行病毒木马程序等。 例:某网站页面有个表单,表单名称为nick,用来向服务器提...
一次网站被***后分析与防御
weixin_34408717的博客
11-28 92
晚上23点左右收到大量的监控报警,公司网站直接不能访问了,立即登录服务器,直接top看到情况如下:发现负载都达到了800了,机器眼看就要爆了,首先先停了mysql,发现负载有点下降,联系了开发同事一同查看,因为今天新上线了一些代码,可能是新上代码的问题,随后看到负载依然没降,然后将php和nginx都重启了,虽然短暂的降了一些,过一会立马负载又起来了,这时看了下nginx日志...
网络安全——网络攻击原理(嗅探攻击、截获攻击、拒绝服务攻击)
0rambot的博客
11-26 2万+
摘要: 网络攻击是导致网络安全威胁的主要原因,嗅探攻击、截获攻击、拒绝服务攻击等是常见的网络攻击网络攻击网络安全是矛盾的两个方面,但是了解网络攻击手段可以帮助我们更好地保护网络安全。嗅探攻击是被动攻击,主要是黑客终端通过接入嗅探目标终端的信息传输路径,然后复制经过网络传输的信息;截获攻击是一种主动攻击,攻击手段是改变传输路径,但是黑客终端可以对截获的消息进行篡改等操作;拒绝服务攻击也是主动攻击...
网络安全——常见的几种WEB攻击:
cosmos033的博客
10-25 1万+
  1.XSS攻击:指的是跨脚本攻击,指的是攻击者在网页中嵌套,恶意脚本程序,当用户打开网页时,程序开始在浏览器上启动,盗取用户的cooks,从而盗取密码等信息,下载执行木马程序。 解决方法:XSS之所以会发生,是因为用户输入的数据变成了代码。因此,我们需要对用户输入的数据进行HTML转义处理,将其中的“尖括号”、“单引号”、“引号” 之类的特殊字符进行转义编码。   2.CSRF攻击:C...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值