本文详细介绍了四种常见的网络攻击:XSS、CSRF、SSRF和SQL注入。针对每种攻击,文章阐述了其原理、类型和实例,并提出了相应的防御措施,包括输入检查、设置HTTP-only Cookie、请求验证Token、过滤返回信息等。了解这些攻击和防御方法对于提升网络安全至关重要。
常见的网络攻击主要有xss攻击,csrf攻击和sql注入等。
一、XSS,即 Cross Site Script,中译是跨站脚本攻击。
XSS 攻击是指攻击者在网站上注入恶意的客户端代码,从而在用户使用浏览器进行访问时,获得用户隐私数据的一种行为。
XSS分为 反射型(非持久型)、存储型(持久型)和基于DOM
1.反射型
反射型 XSS 只是简单地把用户输入的数据 “反射” 给浏览器,这种攻击方式往往需要攻击者诱使用户点击一个恶意链接,或者提交一个表单,或者进入一个恶意网站时,注入脚本进入被攻击者的网站。反射型XSS是一次性的。
比如,在静态页面a.html存在一个恶意链接 攻击者发个虚假中奖的email,诱使用户进入a.html点击这个恶意链接 然后跳转到攻击者的页面,在攻击者的页面执行攻击脚本。
2.存储型
存储型 XSS 会把用户输入的数据 "存储" 在服务器端,当浏览器请求数据时,脚本从服务器上传回并执行。这种 XSS 攻击具有很强的稳定性。
比较常见的一个场景是攻击者在社区或论坛、网站留言上写下一篇包含恶意 JavaScript 代码的文章或评论,文章或评论发表后,所有访问该文章或评论的用户,都会在他们的浏览器中执行这段恶意的 JavaScript 代码。
比如在某论坛的某个贴子下面添加如下评论
“写的不错<script>alert(document.cookie)</script>”
3.基于DOM
只在客户端发生的攻击。 指客户端的恶意脚本可以修改dom,而不依赖于服务器端数据。
最低0.47元/天 解锁文章
扫一扫
1661
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
