互联网安全架构-常见的web攻击

最新推荐文章于 2024-08-27 15:54:39 发布
最新推荐文章于 2024-08-27 15:54:39 发布
阅读量61 收藏
点赞数
分类专栏: 大型分布式网站架构设计与实践 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jxauwxj87/article/details/84734981
版权
一。xss攻击(cross site scripting)
1.原理:攻击者通过在网页中嵌入恶意脚本程序,当用户打开该网页时就会在用户端的浏览器上自动执行,从而获取用户的
cookie,用户名,密码等
2.防范:对用户输入的数据进行HTML转义处理
二.csrf攻击(cross site reqeust forgery)
1.原理:伪造受信用户的请求,从站外发起请求
2.防范:
    方法1:判断来源(referer)
    方法2:将cookie设为HttoOnly,这样攻击者就无法通过js,applet等获取用户的cookie。
            reponse.setHeader("Set-Cookie","name=test;HttpOnly);
    方法3:在请求中加入token,这样不带有token的请求都是非法的
 
 
三.sql注入
1.原理:伪装成正常的http请求参数,传递到服务器,欺骗服务器最终执行恶意的sql
2.防范:转义特殊字符
    方法1:jdbc用PreparedStatement
    方法2:用orm框架
`    方法3:重要信息加密(md5,md5+salt)
 
 
四.文件上传漏洞
1.上传文件要重命名
2.上传文件要限制大小
3.不能简单地通过文件的后缀名来判断文件的类型。
  很多类型的文件,起始的几个字节都是固定的,因为根据这几个字节的内容,就可以确定文件,
  这几个字节称为魔数(magic number)。java中的FileType api表示文件类型
4.上传图片后,对图片进行相应的缩放,破坏来恶意用户上传的二进制可执行文件的结构。
  推荐 imagemagick (图片缩放、生成水印、锐化、截取、格式)
 
 
五。ddos攻击(distributed denial of service)分布式拒绝服务攻击
jxauwxj87
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
xray-web自动扫描漏洞安全软件
04-16
其中,Web安全作为互联网应用的基础,更是安全防护的重中之重。Xray-WEB自动扫描漏洞安全软件,正是为了解决这一问题而诞生的专业工具。这款软件集成了先进的扫描技术和深度分析能力,旨在帮助用户及时发现并修复Web...
Web应用安全:web系统的应用架构.pptx
06-18
Web应用安全是现代互联网行业中至关重要的议题,尤其是在构建大规模Web业务系统时。本文将深入探讨Web系统的应用架构,包括负载分配层、业务服务层和通信层以及数据存储层,这些都是确保Web应用安全的基础。 首先,...
linux-web架构设计
07-31
8. **安全实践**:防火墙配置、SSL/TLS加密、DDoS防护、安全日志监控以及常见攻击防范(如XSS、SQL注入)是保证Web服务安全的基础。 9. **性能监控**:通过工具如Prometheus、Grafana进行系统性能监控,及时发现并...
Web应用安全开发规范-V2.0.doc
08-03
本规范详细涵盖了背景介绍、技术框架、使用对象、适用范围以及用词约定等多个方面,并着重讨论了常见Web安全漏洞和Web设计的安全规范。 1. **概述** - **背景简介**:随着互联网的飞速发展,Web应用已经成为日常...
SecurityDemo:互联网安全架构学习
05-11
互联网安全架构学习常见Web攻击手段XSS 攻击 CSRF 攻击SQL 注入攻击文件上传漏洞 DDoS攻击常用的安全算法数字摘要对称加密算法非对称加密算法数字签名数字证书摘要认证为什么需要认证摘要认证的原理摘要认证的实现...
阿里云服务器 篇七:服务器热备份/定时备份
生活在别处
08-24 539
Python 客户端用于百度云(个人云存储)百度云/百度网盘 Python 客户端。它主要用于在 Linux 环境下通过命令行操作百度云盘的 2TB 存储空间。是一个Github开源项目,这是一个百度云/百度网盘Python客户端。: 列出百度 PCS 中的 ‘remotepath’ 目录。: 从本地目录同步到远程目录。: 在百度云中创建一个目录。
启动Application 报错:no mapping for GET /(已解决)
qq_3512323979的博客
08-26 592
no mapping for GET /因为我使用的是框架嘛,然后生成了一个SpringBoot项目后,resources下面就会有一个static的类,用于存放静态资源类,后面我把静态资源放在里面,但是启动启动类后,报错一直匹配不到。: 正常的话,我们使用SpringBoot框架,他会给我们提供许多便利,包括静态资源的自动服务,默认的话,他会去。报这个错可能还有其他原因,我的是因为这个,大家可以根据日志信息一步步检查,肯定可以解决的!类并覆盖其方法时,就会失去静态资源的自动服务
开发多线程程序时,需要注意那些问题
OO_SEN的博客
08-23 1012
线程安全 竞态条件(Race Condition):当多个线程同时访问和修改共享资源时,可能会出现竞态条件,导致不确定的行为。需要通过同步机制(如互斥锁、读写锁、原子操作)来保护共享资源。 死锁(Deadlock):当两个或多个线程相互等待对方释放锁时,程序会陷入死锁状态。避免死锁的一些策略包括:避免嵌套锁、确保加锁顺序一致、使用超时机制等。 活锁(Livelock):与死锁不同,活锁是指线程不断地尝试获取资源但总是失败,导致无法继续执行。避免频繁重试操作或使用退避算法可以减少活锁的发生。 优先级反转(P
笔记redis
风止的博客
08-22 1536
Redis(Remote Dictionary Server)是用C语言开发的一个基于的数据库。
linux上datax 安装以及使用
寂夜了无痕的博客
08-24 1387
linux上datax 安装以及使用
基于jenkins部署maven项目
静水深流
08-26 533
如上所示,构建后,我们处于项目的根目录之下,可以进行后续的操作,如启动target目录下的jar包、将jar包传输到需要部署的服务器上、打docker镜像bing上传等等,需要根据实际情况进行选择,而这些都可以在“Add post-build step”选项中进行选择。我们主要关注上述几个部分,在General部分,可以对项目进行一个简单的描述,源码管理部分,需要配置对应的源码url,如下图所示。如上所示,选择“构建一个maven项目”,如果没有改选项,则需要安装maven构建的插件,请参考之前的文章。
@Transactional中使用线程锁导致了锁失效与解决方案
liuruiaaa的博客
08-23 974
@Transactional中使用线程锁导致了锁失效与解决方案
Java学习_18_Stream流
qq_41136689的博客
08-23 1398
博客仅记录个人学习进度和一些查缺补漏。学习内容:BV17F411T7Ao流的出现让数据处理从几十行代码缩减到一两行就能实现,简化了很多集合数组的操作。
JavaScript 错误 - Throw 和 Try to Catch的使用
逆风优雅的博客
08-23 324
trycatchthrow上面的代码 因为 try中 没有adddlert这个方法,或者这个方法有误,这时,代码会执行catch部分。JavaScript 实际上会创建带有两个属性的Error 对象name和message。
Java面试宝典-java基础02
最新发布
杜盟恩的博客
08-27 102
机器语言是一种指令集的体系,是最早出现的计算机语言。机器语言从属于硬件设备。不同的计算机设备有不同的机器语言.所以机器语言是一种面向机器的语言。计算机指令系统中的指令是由“0”和“1”两种符号组成的代码,并且能被机器直接理解执行,它们被称为机器指令。一个计算机的机器指令的集,就构成了该计算机的机器语言,即计算机可以直接接受、理解的语言。机器语言能利用机器指令精准地描述算法、且编程质量高、所占存储空间小,执行速度快。但是这种程序直观性很差,容易出错,阅读检查和修改调试非常困难。
Java 入门指南:Java IO 模型
Zachyy的博客
08-26 901
Java中的 IO(Input/Output)模型是管理计算机与外部设备(如磁盘、网络等)之间数据交换的重要机制。它定义了数据如何在应用程序和操作系统之间流动,以及如何处理这些流动过程中的阻塞、非阻塞、同步和异步等问题。Java常见的IO模型包括 BIO(Blocking I/O,阻塞IO)、NIO(Non-Blocking I/O,非阻塞IO)、AIO(Asynchronous I/O,异步IO)等。
Java中自定义注解的使用
echola_mendes的博客
08-22 1222
以【记录操作日志】为例,一般在开发中为了记录用户操作,当系统出现问题时,可以追溯日志所提供详细的错误信息,帮助开发者快速定位问题的原因最简单的方法:在每个方法中增加日志信息打印代码,来记录操作日志,但是这样重复代码也很多,也不易扩展,而且易出错使用自定义注解就会方便很多,减少不必要的重复代码,减少非业务代码的侵入性,如果需要扩展操作用户的信息以及IP就会很方便,易于扩展和维护@interface在需要使用自定义注解的地方使用该注解@LogOperation("新增")// 方法实现。
Java中的深克隆与浅克隆
qq_42798343的博客
08-27 766
浅克隆:复制对象时不复制引用对象的内容,克隆对象和原对象共享引用对象。深克隆:复制对象时也复制引用对象的内容,克隆对象和原对象完全独立。实现深克隆的方式:重写clone()方法、使用序列化、使用第三方库(如Apache Commons Lang)、使用JSON序列化。了解深克隆和浅克隆的区别,并根据实际需要选择合适的克隆方式,可以帮助开发者更好地管理对象的复制和状态。希望这篇博客能够帮助你更好地理解Java中的深克隆和浅克隆!
第一讲__提炼
I am the light coursing in the soul of the moon.
08-26 641
定义:有static修饰的变量是类变量访问方式:类名.变量名注意:类变量只在类加载时加载一次。
《白帽子讲Web安全》- 掌握互联网时代的数据防御
1. Web安全基础:介绍Web应用的基本架构常见安全漏洞,如SQL注入、跨站脚本攻击(XSS)、跨站请求伪造(CSRF)等,让读者理解这些攻击手段的工作原理。 2. 黑客攻击技术:详细解析黑客如何利用漏洞进行攻击,揭示...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值