XSS(Cross Site Script)跨站脚本攻击
攻击者在web页面中插入恶意脚本,当用户浏览页面时,促使脚本执行,从而达到攻击的目的
特点:想尽一切办法在目标网站上执行第三方脚本
类型(3种):
- 存储型XSS,注入的脚本永久存在于目标服务器上
- 反射型XSS,当受害者被引诱点击一个恶意链接,提交一个伪造表单,恶意代码和正常数据会一起作为响应发送给服务端
DOM型XSS,本地更新DOM导致恶意脚本执行
防御方法:
客户端和服务端双重验证所有输入数据
- 对所有的数据进行适当的编码
- 设置HTTP Header:“X-XSS-Protection:1”
SQL注入
通过客户端的输入把SQL命令注入到一个应用的数据库,从而得以执行恶意SQL语句
防御方法:
- 验证用户的输入
- 对所有的数据进行适当的编码
- 使用语言自带的存储程序,而不是自己直接操纵数据库
CSRF(跨站请求伪造)
伪造来自受信任用户的请求来利用受信任的网站
防御方法:验证码
cookie攻击
cookie上没有打上HttpOnly标记的情况下可以使用JS得到cookie
防御方法:
- 不在cookie中保存敏感信息
- 严格校验从客户端取的cookie信息
- 使用SSL/TSL来传递cookie信息
http头部攻击
在headers中“注入”任意字符
防御方法:过滤掉所有的响应头部,除去非法字段
Dos攻击
通过大量恶意流量占用带宽和计算机资源以达到瘫痪对方网络的目的
目的是敲诈勒索或打击竞争对手,Dos防御产品的核心是检测技术和清洗技术
上传文件攻击
上传非法类型的文件,从而对网站进行攻击
扫一扫
1705
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
