分类:主动攻击与被动攻击;主动攻击,即攻击者直接访问Web应用,将攻击代码传入,而被动攻击则是利用圈套策略执行攻击代码的攻击模式,主动攻击主要有SQL注入攻击,被动攻击主要是XSS攻击和CSRF攻击。
SQL注入攻击:针对web应用使用的数据库,运行非法的SQL而产生的攻击。由于服务端运行一些动态SQL的时候,没有对动态的内容进行过滤,导致一些关键词被使用,从而产生了意想不到的执行结果。
XSS攻击:跨站脚本攻击,即运行了非法的JS脚本或HTML标签,导致页面的内容被篡改或者信息被泄露。简单的解释一下就是,在页面的输入框等地方,没有对输入内容进行过滤,导致运行了一些非法的JS脚本或者HTML标签,导致这个问题的主要原因就是Web端的验证和服务器端的验证没有对一些特殊的标签和关键字进行过滤,即输出值转义不完全引起的安全漏洞。
CSRF攻击:跨站请求伪造,指攻击者通过设置好的陷进,强制对已完成认证的用户进行非预期的个人信息或设定信息等某些状态更新,属于被动攻击。过程:1. 用户通过登录获取认证信息登录网站;2. 攻击者布下陷进,诱使用户点击非法链接触发陷进;3. 用户点击链接发送请求时,会带上网站的认证信息,这样就等于攻击者窃取了用户的身份,可以在网站进行用户的操作。一般的防御方案,就是使用token进行验证用户的请求或者是使用验证码,使用自定义的字段来验证用户的请求等都是可以来防御CSRF攻击。
扫一扫
3605
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
