不会对这些Web攻击设防,就别学开发了

版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/fareise/article/details/70196193

欢迎关注我的个人公众号“精粹微阅读”,id"jcwyd2016",一起读书交流吧~


进行Web开发,能实现基础功能,只是第一步。Web安全越来越重要,如果不会防御常见的Web攻击,之前Web开发做出的努力就是白费。

下面介绍三种常见的Web攻击方法以及防御措施,感兴趣的同学可以搜索资料更完善的学习Web攻防知识。


一、XSS(跨站脚本攻击)

在表单中,提交JS脚本代码,这些代码就会被运行。

主要攻击方法:在网站输入一些JS代码,这些代码被提交后,如果能直接放在HTML中,当其他人访问的时候,就会执行这些脚本。

例如,document.cookie可以获取用户cookie,可以写一段js代码,当用户加载网页后,这段代码自动将cookie发送到我们自己编写的网站中

解决办法:对用户的输入进行过滤,过滤掉例如<script>中的<>等这类的非法字符


二、CSRF(跨站请求伪造攻击)

攻击通过在授权用户访问的页面中包含链接或者脚本的方式工作。攻击网站用户用户在某个安全网站的cookie访问这个安全网站,该安全网站无法区分请求是用户发出的还是攻击网站发出的,

 攻击者盗用了你的身份,以你的名义发送恶意请求


解决办法:

1.验证HTTP Referer字段。根据HTTP协议,在HTTP头中有一个字段叫Referer,它记录了该HTTP请求的来源地址。

2.在请求地址中添加token并验证。在请求中放入攻击者所不能伪造的信息,并且该信息不存在于Cookie之中。系统开发者可以在HTTP请求中以参数的形式加入一个随机产生的token,并在服务器端建立一个拦截器来验证这个token,如果请求中没有token或者token内容不正确,则认为可能是CSRF攻击而拒绝该请求。



三、DoS(拒绝访问攻击)

通过各种方式使远程计算机或网络无法提供服务。Dos攻击利用了TCP/IP三次握手的缺陷。

攻击者制造大量无用数据阻塞主机网络、反复高频发出攻击性的重复服务请求、反复发送畸形攻击数据引发系统错误分配大量系统资源。


解决办法:

主要看开发的Web本身,针对不同的功能点设定不同防御措施。例如,如果网站有用户注册功能,为了防止攻击者反复大量提交注册信息,就要添加验证码功能。




什么都懂一点,生活才多彩些。这是一个带你读书学知识的公众号~


展开阅读全文

没有更多推荐了,返回首页