常见的web攻击以及防御方式

最新推荐文章于 2024-06-18 15:32:40 发布
最新推荐文章于 2024-06-18 15:32:40 发布
阅读量624 收藏 3
点赞数
文章标签: 前端 web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dongwei666/article/details/124536769
版权

文章目录

前言

俗话说:“”有制造者“,“必然有破坏者”。 前端web应用上线之后,不免有不怀好意的破坏者通过各种漏洞攻击你的应用,所以无论前端后端都不是一堵密不透风的墙,当然咱只了解前端哈。下面我们就来了解一下前端存在的安全问题XSS攻击。

一、XSS (跨站脚本攻击)

1.简介

XSS 是跨站脚本攻击,是一种代码注入的攻击。攻击者通过向网站注入恶意代码,当用户登录网站时就会执行这些代码,以此来获取网站的cookie,token等网站敏感信息,对用户进行钓鱼欺诈等

2.分类

存储型XSS :将恶意代码提交到目标网站的数据库中永久存储,当用户访问网站时,从数据库取出恶意代码与HTML 拼接在一起返回给浏览器,浏览器在收到响应后解析执行,混在其中的恶意代码也同时被执行,从而达到攻击目的。

反射型XSS :攻击者构造出带有恶意代码的URL,当用户点击带有恶意代码的URL时,服务端将恶意代码取出后,与HTML拼接在一起返回给浏览器,浏览器在收到响应后解析执行,混在其中的恶意代码也同时被执行,从而达到攻击目的。(与存储型XSS的区别就是恶意代码存放在URL上,而存储型CSS恶意代码存放在数据库中)

DOM型XSS:这种攻击与反射型XSS、存储型XSS在原理上有本质区别,它的攻击代码不需要服务器解析响应,触发XSS靠的是浏览器的DOM解析。客户端上的JS可以访问浏览器的DOM并修改页面的内容,直接从浏览器获取数据并执行。在客户端直接输出DOM内容的时候极易触发DOM型XSS攻击。例如:document.getElementByld(“x’).innerHTML、document.write)等。

3.防御方式

  • 一切用户的输入皆不可信,在输出时进行验证

  • 将HTML 元素内容、属性以及 URL 请求参数、 CSS值进行编码

  • 设置 Cookie 的 HttpOnly 属性

  • 数据存储数据库前,展示到页面前均进行转义过滤

二、CSRF (跨站请求伪造)

1.简介

CSRF(Cross-site request forgery)跨站请求伪造:攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求,利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的

一个典型的CSRF攻击有着如下的流程:

  • 受害者登录a.com,并保留了登录凭证(Cookie)
  • 攻击者引诱受害者访问了b.com
  • b.com 向 a.com 发送了一个请求:a.com/act=xx。浏览器会默认携带a.com的Cookie
  • a.com接收到请求后,对请求进行验证,并确认是受害者的凭证,误以为是受害者自己发送的请求
  • a.com以受害者的名义执行了act=xx
  • 攻击完成,攻击者在受害者不知情的情况下,冒充受害者,让a.com执行了自己定义的操作

2.CSRF的特点

  • 攻击一般发起在第三方网站,而不是被攻击的网站。被攻击的网站无法防止攻击发生

  • 攻击利用受害者在被攻击网站的登录凭证,冒充受害者提交操作;而不是直接窃取数据

  • 整个过程攻击者并不能获取到受害者的登录凭证,仅仅是“冒用”

  • 跨站请求可以用各种方式:图片URL、超链接、CORS、Form提交等等。部分请求方式可以直接嵌入在第三方论坛、文章中,难以进行追踪

3.防御方式

  • 阻止不明外域的访问:同源策略 和 Samesite Cookie

  • 提交时要求附加文本域才能获取的信息: CSRF Token 和 双重Cookie验证

进击的前端小白、
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Web前端攻击方式防御措施
少女心の程序媛
02-28 6298
一、XSS 【Cross Site Script】跨站脚本攻击 恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 1、Reflected XSS 基于反射的XSS攻击,主要依靠站点服务端返回脚本,在客户端触发执行从而发起Web攻击Web客户端使用Server端脚本生成页面为用户提供数据时,
常见的六种web攻击防御
lyn1772671980的博客
07-14 1858
前言 在互联网时代,数据安全与个人隐私受到了前所未有的挑战,各种新奇的攻击技术层出不穷。如何才能更好地保护我们的数据?本文主要侧重于分析几种常见攻击的类型以及防御方法。 想阅读更多优质原创文章请猛戳GitHub博客。 一、XSS XSS (Cross-Site Scripting),跨站脚本攻击,因为缩写和 CSS重叠,所以只能叫 XSS。跨站脚本攻击是指通过存在安全漏洞的Web网站注册用户的浏览器内运行非法的HTML标签或JavaScript进行的一种攻击。 跨站脚本攻击有可能造成以下影响:
web安全常见攻击以及如何防御
乌龟的专栏
12-27 780
XSS即Cross Site Scripting(跨站脚本攻击),攻击者通过各种方式将恶意代码注入到用户的页面中,这样就可以通过脚本进行一些操作。以后,基本就杜绝了 CSRF 攻击。当然,前提是用户浏览器支持 SameSite 属性。(1)为了防止这种攻击,表单一般都带有一个随机 token,告诉服务器这是真实请求。CSRF即Cross-site request forgery(跨站请求伪造)
web安全攻击与防范
zhu2003cong01的博客
05-29 608
未来,Web安全将面临更多的挑战,包括人工智能和物联网等新技术的兴起。当前,Web安全威胁的变化和复杂性加剧了Web应用程序的风险,针对这些风险,开发人员和运维人员需要时刻关注Web应用程序的安全性,并采取相应的防范措施,以确保Web应用程序在安全的环境中运行。SQL注入攻击之所以能够成功,是因为Web应用程序没有对用户的输入进行充分的过滤和验证,攻击者通过在应用程序的输入字段中输入恶意SQL代码,向数据库发送一些不当的SQL查询语句,从而能够突破数据库的安全措施,获取大量敏感信息或者控制系统的操作权。
WAF中“动态防护”功能深度体验
最新发布
test2231的博客
06-18 290
在当今的网络安全环境中,Web应用防火墙(WAF)至关重要。它们不仅防御常见Web攻击,如SQL注入和跨站脚本攻击(XSS),还应对日益复杂的网络威胁。
常见 Web 安全攻防总结[转]
The_Commitmentts的博客
11-19 1662
安全永远是产品的最基础需求 Web 安全的对于 Web 从业人员来说是一个非常重要的课题,所以在这里总结一下 Web 相关的安全攻防知识,希望以后不要再踩雷,也希望对看到这篇文章的同学有所帮助。今天这边文章主要的内容就是分析几种常见攻击的类型以及防御方法。 也许你对所有的安全问题都有一定的认识,但最主要的还是在编码设计的过程中时刻绷紧安全那根弦,需要反复推敲每个实现细节,安全无小事。 本...
Web安全之XSS攻击防御小结
10-17
Web安全中的XSS攻击是一种常见的网络攻击方式,全称为跨站脚本攻击攻击者通过在Web页面中插入恶意的JavaScript代码,当受害者访问这些被污染的页面时,恶意脚本将被执行,从而可能导致敏感信息泄露、账户劫持等...
第八章 Web攻击防御技术1
08-03
【第八章 Web攻击防御技术】 在当今互联网普及与Web技术快速发展的时代,Web安全面临着巨大的挑战。随着网络服务和信息的易获取性增加,基于Web攻击与破坏活动也日益增多,使得安全风险达到了空前的高度。Web...
网页前端常见攻击方式和预防攻击方法
09-28
网页前端常见攻击方式和预防攻击方法 网页前端开发中的安全问题是一个至关重要的主题,因为大多数人认为前端代码运行在客户端浏览器中,不会对服务器端的安全造成威胁。然而,随着前端技术的发展,安全问题已经...
web攻击技术与防护
01-26
总的来说,防止Web攻击的关键在于强化输入验证、实施安全编码、使用安全的HTTP首部,并定期进行安全审计和漏洞修复。通过以上介绍的XSS和XSRF攻击防御策略,开发者可以更好地保护他们的Web应用程序免受此类威胁。
常见WEB漏洞原理分析及防护
08-22
目录遍历漏洞是攻击者向 Web 服务器发送请求,通过在 URL 中或在有特殊意义的目录中附加“../”、或者附加“../”的一些变形(如“..\”或“..//”甚至其编码),导致攻击者能够访问未授权的目录,以及在 Web 服务器...
Web攻击与防护
11-06
在早期的互联网中,web并非主流的互联网应用,相对来说,给予SMTP、POP3、FTP、IRC等协议的用户拥有绝大数的用户,因此黑客们攻击的主要目标就是网络、操作系统以及软件的领域,WEB安全领域的攻击防御与技术均处于非常原始的阶段。随着时代的发展,运营商和防火墙对网络的封锁使得暴露在网络上的非WEB服务越来越少,且WEB技术的成熟使得WEB应用的功能越来越强大,最终成为互联网的主流,而黑客的目光也逐渐转移到WEB上,随之而来的就是WE安全问题!
jwt如何防止token被窃取_SpringBoot系列之前后端接口安全技术JWT
weixin_39847437的博客
11-22 6121
作者|smileNicky来源 |cnblogs.com/mzq123/p/13278935.html1.什么是JWT?JWT的全称为Json Web Token (JWT),是目前最流行的跨域认证解决方案,是在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519),JWT 是一种JSON风格的轻量级的授权和身份认证规范,可实现无状态、分布式的W...
Web常见攻击方式?如何防御
Harley567
08-08 157
Web攻击以及防御方式
web攻击方法防御总结
weixin_33881041的博客
04-16 343
1. CSRF (cross-site request forgery)跨站请求伪造 一句话概括: 当用户浏览器同时打开危险网站和正常网站,危险网站利用图片隐藏链接,或者js文件操纵用户生成错误请求给正常网站。此时因为用户会携带自己的session验证。危险网站发出的请求得以执行。 根本原因:web的隐式身份验证机制解决办法: 为每一个...
常见的几种web攻击和对应防御
Grimm的博客
08-17 239
web常见的各种攻击防御
wen_special的博客
05-26 2624
XSS攻击 跨站脚本攻击; 是什么:攻击者向有XSS漏洞的网站中输入恶意的HTML代码,当其浏览器浏览该网站时,这段HTML代码会自动执行。(理论上所有可以输入的地方没有对输入的数据进行处理,都会存在XSS攻击); 危害: 盗取用户cookie,破坏页面结构,重定向到其他网站; 防御:对用户输入的信息进行处理,只允许合法的值; CSRF攻击 跨站请求伪造 是什么:攻击者盗用了你的身...
Webmail邮件攻防实战技术总结[转]
weixin_33777877的博客
05-23 598
WebMail是指利用浏览器通过web方式来收发电子邮件的服务或技术,不需借助邮件客户端,可以说只要能上网就能使用WebMail,极大地方便了用户对邮件的收发。对于不能熟练使用邮件客户端, 或者在网吧不便使用邮件客户端的用户来说,WebMail更是必不可少的选择。Email能够成为当今Internet上应用最广泛的网络服务,WebMail可谓功不可没。  由于用户的使用不当或者WebMail系统...
web服务器攻击防御系统设计,Web的入侵防御系统的设计与实现论文
weixin_39765840的博客
08-05 482
Web的入侵防御系统的设计与实现摘要Web服务器往往得不到传统防御方式的有效保护,使其成为整个网络环境中安全最薄弱的地方。缓冲区溢出、SQL注入、基于脚本的DDos、盗链和跨站等攻击行为对Web服务器的安全和稳定造成极大的威胁,而目前缺少有效的防御和保护的方式。本课题中首先调研了当前Web服务器所面对的威胁,然后针对这些安全威胁设计了一套入侵防御系统,并通过ISAPI实现了对Windows平台下的...
Web安全深度解析:SQL注入攻击防御策略
"这篇文档是关于Web攻击防御技术的讲义,重点讲解了SQL注入攻击的实例。" 本文档详细介绍了Web安全的各个方面,尤其是针对SQL注入攻击的阐述。SQL注入是一种常见Web应用程序安全漏洞,它允许攻击者通过操纵输入...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值