不会对这些Web攻击设防,就别学开发了

最新推荐文章于 2024-03-28 17:06:27 发布
最新推荐文章于 2024-03-28 17:06:27 发布
阅读量1.8k 收藏 3
点赞数 4
分类专栏: javascript 前端开发常用技巧经验记录 文章标签: Web攻击 Javascript Web前端 XSS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fareise/article/details/70196193
版权

欢迎关注我的个人公众号“精粹微阅读”,id"jcwyd2016",一起读书交流吧~


进行Web开发,能实现基础功能,只是第一步。Web安全越来越重要,如果不会防御常见的Web攻击,之前Web开发做出的努力就是白费。

下面介绍三种常见的Web攻击方法以及防御措施,感兴趣的同学可以搜索资料更完善的学习Web攻防知识。


一、XSS(跨站脚本攻击)

在表单中,提交JS脚本代码,这些代码就会被运行。

主要攻击方法:在网站输入一些JS代码,这些代码被提交后,如果能直接放在HTML中,当其他人访问的时候,就会执行这些脚本。

例如,document.cookie可以获取用户cookie,可以写一段js代码,当用户加载网页后,这段代码自动将cookie发送到我们自己编写的网站中

解决办法:对用户的输入进行过滤,过滤掉例如<script>中的<>等这类的非法字符


二、CSRF(跨站请求伪造攻击)

攻击通过在授权用户访问的页面中包含链接或者脚本的方式工作。攻击网站用户用户在某个安全网站的cookie访问这个安全网站,该安全网站无法区分请求是用户发出的还是攻击网站发出的,

 攻击者盗用了你的身份,以你的名义发送恶意请求


解决办法:

1.验证HTTP Referer字段。根据HTTP协议,在HTTP头中有一个字段叫Referer,它记录了该HTTP请求的来源地址。

2.在请求地址中添加token并验证。在请求中放入攻击者所不能伪造的信息,并且该信息不存在于Cookie之中。系统开发者可以在HTTP请求中以参数的形式加入一个随机产生的token,并在服务器端建立一个拦截器来验证这个token,如果请求中没有token或者token内容不正确,则认为可能是CSRF攻击而拒绝该请求。



三、DoS(拒绝访问攻击)

通过各种方式使远程计算机或网络无法提供服务。Dos攻击利用了TCP/IP三次握手的缺陷。

攻击者制造大量无用数据阻塞主机网络、反复高频发出攻击性的重复服务请求、反复发送畸形攻击数据引发系统错误分配大量系统资源。


解决办法:

主要看开发的Web本身,针对不同的功能点设定不同防御措施。例如,如果网站有用户注册功能,为了防止攻击者反复大量提交注册信息,就要添加验证码功能。




什么都懂一点,生活才多彩些。这是一个带你读书学知识的公众号~


fareise
关注
专栏目录
[网络安全自学篇] 九十四.《Windows黑客编程技术详解》之提权技术(令牌权限提升和Bypass UAC)
杨秀璋的专栏
09-12 2万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。这篇文章将带着大家来学习《Windows黑客编程技术详解》,其作者是甘迪文老师,推荐大家购买来学习。作者将采用实际编程和图文结合的方式进行分享,并且会进一步补充相关知识点。第六篇文章主要介绍木马病毒提权技术,包括进程访问令牌权限提升和Bypass UAC,希望对您有所帮助。
双12使用腾讯云WAF反羊毛党、黄牛党战纪全记录
lifetragedy的专栏
01-28 6143
近来拼多多爆出的羊毛党事件使得计算机信息安全再次被提到人们的面前,原本属于计算机安全学科中的“薅羊毛”这一专有名词也被众多普通人所熟知。通过拼多多事件还原我们得知它其实是一个非常简单的“低级错误”导致。 只需花费4毛钱就可以领取一张100元的无门槛优惠券,而不设“总量限制与单用户限制”。这一消息瞬间在薅羊毛行业内流传开来。凌晨5点左右,在羊毛党内部已经彻底发酵的“抢券行动”,被发布到了一些公开论...
常见web攻击总结
ltycsdn007的博客
09-05 1329
Web开发离不开安全这个话题,确保网站或者网页应用的安全性,是每个开发人员都应该了解的事。本篇主要简单介绍在Web领域几种常见的攻击手段及Java Web中的预防方式。 XSS SQL注入 DDOS CSRF 1. XSS 什么是XSS XSS攻击:跨站脚本攻击(Cross-Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆...
Web攻击
xueyefengqiao
04-25 318
常见攻击 目录 1. XSS攻击 1.1 特性 1.2 手段 2.SQL注入攻击 2.1 特性 2.2防御 2.3 PHP防范方法 3. CSRF攻击 3.1 防御 1. XSS攻击 1.1 特性 XSS 跨站点脚本攻击,指黑客通过篡改网页,注入恶意HTML脚本,在用户浏览网页时,控制用户浏览器进行恶意操作的攻击。 反射型 点击一个嵌...
常见的Web攻击学习笔记
不一样的自己的博客
08-14 198
一、跨站脚本攻击(XSS) 跨站脚本攻击XSS,Cross-site ing)是最常见和基本的攻击WEB网站的方法。攻击者在网页上发布包含攻击性代码的数据。当浏览者看到此网页时,特定的脚本就会以浏览者用户的身份和权限来执行。通过XSS可以比较容易地修改用户数据、窃取用户信息,以及造成其它类型的攻击。 1、对于敏感的cookie信息,使用HttpOnly,使document对象中找不到cookie。 2、对于用户输入的信息要进行转义。 二、跨站请求伪造攻击(CSRF) 跨站请求伪造(CSRF,Cross-
常见web攻击及其防御手段
大香蕉的博客
11-08 3445
一、XSS Cross Site Scripting 跨站脚本攻击 XSS (Cross-Site Scripting),跨站脚本攻击,因为缩写和 CSS重叠,所以只能叫 XSS。跨站脚本攻击是指通过存在安全漏洞的Web网站注册用户的浏览器内运行非法的非本站点HTML标签或JavaScript进行的一种攻击。 跨站脚本攻击有可能造成以下影响: 1、利用虚假输入表单骗取用户个人信息。 2、利用脚本窃取用户的Cookie值,被害者在不知情的情况下,帮助攻击者发送恶意请求。 3、显示伪造的文章或图片。 X
图解HTTP学习(五)---Web攻击
Fabbom的博客
09-28 289
因输出值转义不完全引发的安全漏洞 1. 跨站脚本攻击XSS):指通过存在安全漏洞的Web网站注册用户的浏览器内运行非法的HTML标签或JavaScript进行的一种攻击。 在动态生成HTML出发生 例如:在填写表单时通过写入HTML标签进行攻击 正常情况: 跨站脚本攻击: 假如换成script标签则会执行攻击者事先准备好的攻击代码: 正常情况下的URL: 攻击者植入事先准备好的恶意URL,引诱用户点击: 两者的代码区别: ↓↓↓↓↓ 攻击者同样也可以使用这种方式获取用户的Cook
公司发展初期该如何避免服务器被攻击
weixin_67757219的博客
04-28 154
前不久和小伙伴们讨论了一个基础的安全问题:一个朋友开的公司的服务器集群被黑了,攻击者在机器上安装了远程操作程序——被肉鸡了。但经过讨论后发现,机器的最基本的防护都没有。这无异于大姑娘在街上裸奔——就算长得再丑也最终会被爆的。本文就这个讨论,总结一下在工程实践上,服务器集群的“入门级安全防护“该如何实施。 本文仅仅针对初创公司,没有资源建立完善运维团队的场景。本文介绍的方法都是一个开发手工可以搞定的。 服务器是如何被攻破的 线上服务器,无论是自建机房还是云服务,管理员都不太可能直接接触到机器本身。大多数时候
后台开发术语大全
ZXR_LJ的博客
08-29 8485
一. 系统开发 高内聚/低耦合 过度设计 过早优化 重构 (Refactoring) 破窗效应 互不信任原则 持久化 (Persistence) 临界区 阻塞/非阻塞 同步/异步 并发/并行 二. 架构设计 高并发 (High Concurrency) 高可用 (High Availability) 读写分离 冷备/热备 异地多活 负载均衡 (Load Balance) 动静分离 集群 分布式 C...
服务器开发 行业术语
五山口老法师
03-27 475
系统开发 1. 高内聚/低耦合 高内聚指一个软件模块是由相关性很强的代码组成,只负责一项任务,也就是常说的单一责任原则。模块的内聚反映模块内部联系的紧密程度。 模块之间联系越紧密,其耦合性就越强,模块的独立性则越差。模块间耦合高低取决于模块间接口的复杂性、调用的方式及传递的信息。一个完整的系统,模块与模块之间,尽可能的使其独立存在。通常程序结构中各模块的内聚程度越高,模块间的耦合程度就越...
如何在WebForm中使用javascript防止连打(双击)
01-20
http://www.cnblogs.com/dahuzizyd/archive/2007/01/04/javascript_Double_click.html在WebForm上,有的处理需要比较长的时间,为了防止重复提交,就要使用防连击 javaScript代码: function doubleCheck(){     if (window.document.readyState != null &&             window.document.readyState != ‘complete’)     {         alert(“正在处理,请等待!”);         
前端常见的Web攻击XSS、CSRF】
程序员阿飘 的博客
03-07 114
')str = str.replace(/'/g, ''')str = str.replace(/`/g, '`')str = str.replace(/\//g, '/') 但是这里有一个问题,如果提交的是一个富文本的情况下,就不能用转义方法。5、偷取网站的资料和用户的资料。
Web攻击技术
松鼠豪的坚果
08-23 779
互联网上的攻击,大都将web站点作为目标。下面本文讲解一下具体有哪些攻击手段。 一、HTTP的劣势 HTTP不具备必要的安全功能。就只是一个通用的单纯协议机制,有较多优势,但安全性方面呈劣势。 比如SSH协议的远程登录,SSH有协议级别的认证及会话管理等功能。HTTP则没有。 web应用中,浏览器接收到的HTTP请求的全部内容,都可以在客户端自由变更,篡改。所以web应用可能会受到与预期数...
常见web攻击方式与防御方法
网络安全研究
02-01 1140
跨站脚本攻击XSS) 跨站点请求伪造(CSRF) 点击劫持ClickJacking SQL注入 文件上传 认证与会话管理
HTTP学习笔记13 Web攻击技术
zjw_python的博客
02-28 701
HTTP是一个通用的单纯协议机制,其虽具备多种优势,但其没有必要的安全功能。通过URL查询字段或表单、HTTP首部、Cookie等途径把攻击代码传入HTTP请求报文中,若此时Web应用存在安全漏洞,就会造成信息泄露和窃取。 针对Web应用的攻击模式 主动攻击攻击者通过**直接访问**Web应用、把攻击代码传入的攻击模式。具有代表性的为SQL注入攻击和OS注入攻击 被动攻击:利用圈套策略...
web常见的攻击方式
热门推荐
weixin_50736511的博客
04-18 1万+
xss攻击 用户通过浏览器访问web网页,xss攻击通过各种办法在用户访问页面的时候,插入一些自己的代码或者脚本,让用户访问页面的时候,就可以执行这个脚本,攻击者通过插入的脚本的执行就会获得一些信息(比如cookie),发送到攻击者自己的网站,这就是跨站 xss的危害 1.挂马 把一个木马程序插入一个网站中,利用木马生成器生成一个网码,在传到服务器上,加上一写代码就可以让这个木马程序在打开网页的时候运行, 2.盗取用户的cookie 3.DDOS(拒绝服务)客户端浏览器 4.钓鱼攻击 5.删除目标文章,恶意
Web中常见的攻击方式
A_991128a的博客
01-14 774
在上段代码中,我们可以看到攻击者在它的页面上构建了一个隐藏的表单,该表单内容就是一个某网站的转账接口,当用户打开该站点之后,这个表单就会被自动执行提交;攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击的网站发送跨站请求。4.当小明看到广告,点开链接,这时,恶意代码就存在在了小明的浏览器上,由于小明的淘宝处于登录状态,所以恶意代码可以获取小明的Cookie,故也能。诱骗用户点击URL带攻击代码的链接,服务器解析后响应,在返回的响应内容中隐藏和嵌入攻击者的XSS代码,被浏览器执行,从而攻击用户。
web安全的攻击与防范
zhu2003cong01的博客
05-29 619
未来,Web安全将面临更多的挑战,包括人工智能和物联网等新技术的兴起。当前,Web安全威胁的变化和复杂性加剧了Web应用程序的风险,针对这些风险,开发人员和运维人员需要时刻关注Web应用程序的安全性,并采取相应的防范措施,以确保Web应用程序在安全的环境中运行。SQL注入攻击之所以能够成功,是因为Web应用程序没有对用户的输入进行充分的过滤和验证,攻击者通过在应用程序的输入字段中输入恶意SQL代码,向数据库发送一些不当的SQL查询语句,从而能够突破数据库的安全措施,获取大量敏感信息或者控制系统的操作权。
什么是WEB攻击?有哪些措施可以防御
最新发布
dexunyun的博客
03-28 1482
总之,WEB攻击是针对用户上网行为或网站服务器等设备进行攻击的行为,其目的是为了窃取、修改、伪造或破坏信息,为了提高网站和应用程序的安全性,减少遭受WEB攻击的风险,除了采取上述的一些安全防护措施外,也需要不断关注新的安全漏洞和攻击方式,以应对新的攻击手段,保障WEB应用安全。SOL注入攻击攻击者成功的向服务器提交恶意的SQL查询代码,程序在接收后错误的将攻击者的输入作为查询语句的一部分执行,导致原始的查询逻辑被改变,额外的执行了攻击者精心构造的恶意代码。这样就能消灭绝大部分的XSS攻击
《建筑抗震设计规范》GB50011-2010学习与修订要点
- 抗震设防分类和设防标准:根据《建筑工程抗震设防分类标准》GB50223,所有建筑需按照其功能和重要性被分为四个抗震设防类别,分别为特殊设防类、重点设防类、标准设防类和适度设防类。 - 地震影响、场地和地基:...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值