浅谈常见网络攻击以及防御

本文详细介绍了四种常见的网络攻击:XSS、CSRF、SSRF和SQL注入。针对每种攻击,文章阐述了其原理、类型和实例,并提出了相应的防御措施,包括输入检查、设置HTTP-only Cookie、请求验证Token、过滤返回信息等。了解这些攻击和防御方法对于提升网络安全至关重要。
摘要由CSDN通过智能技术生成

常见的网络攻击主要有xss攻击,csrf攻击和sql注入等。

一、XSS,即 Cross Site Script,中译是跨站脚本攻击

XSS 攻击是指攻击者在网站上注入恶意的客户端代码,从而在用户使用浏览器进行访问时,获得用户隐私数据的一种行为。

XSS分为 反射型(非持久型)、存储型(持久型)和基于DOM

1.反射型

反射型 XSS 只是简单地把用户输入的数据 “反射” 给浏览器,这种攻击方式往往需要攻击者诱使用户点击一个恶意链接,或者提交一个表单,或者进入一个恶意网站时,注入脚本进入被攻击者的网站。反射型XSS是一次性的。

比如,在静态页面a.html存在一个恶意链接 攻击者发个虚假中奖的email,诱使用户进入a.html点击这个恶意链接 然后跳转到攻击者的页面,在攻击者的页面执行攻击脚本。

2.存储型

存储型 XSS 会把用户输入的数据 "存储" 在服务器端,当浏览器请求数据时,脚本从服务器上传回并执行。这种 XSS 攻击具有很强的稳定性。

比较常见的一个场景是攻击者在社区或论坛、网站留言上写下一篇包含恶意 JavaScript 代码的文章或评论,文章或评论发表后,所有访问该文章或评论的用户,都会在他们的浏览器中执行这段恶意的 JavaScript 代码。

比如在某论坛的某个贴子下面添加如下评论 

“写的不错<script>alert(document.cookie)</script>”

3.基于DOM

只在客户端发生的攻击。 指客户端的恶意脚本可以修改dom,而不依赖于服务器端数据。

 

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值