面试题整理 常见WEB攻击手段及其防御方式

最新推荐文章于 2024-05-30 09:51:43 发布
最新推荐文章于 2024-05-30 09:51:43 发布
阅读量2k 收藏 4
点赞数
分类专栏: PHP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42271953/article/details/80863236
版权

常见WEB攻击手段
- XSS (跨站脚本攻击) 【攻击者在 Web 页面中插入恶意脚本,当用户浏览页面时,促使脚本执行,从而达到攻击目的】
- DDos 分布式拒绝服务,【发送大量请求,使服务器瘫痪】
- CSRF 跨站请求伪造 【用户本地存储cookie,攻击者利用用户的cookie进行认证,然后伪造用户发出请求】

  • SQL注入 【通过用户输入,拼接成恶意sql, 并执行】

    防御方式

  • XSS

    1. 客服端及服务端用户的输入数据进行双重验证
    2. 对所有的数据进行适当的编码

    3. 设置 HTTP Header: “X-XSS-Protection: 1”

      • DDos

    4. 服务器加带宽(成本昂贵) 2. 使用DDos 防御产品,如云服务提供商的产品

      • CSRF
    5. 检查标准请求头 ,确认是否同源

    6. 检查CSRF token

      • sql 注入
        1, 预编译sql
        2,验证用户输入
        3,用户输入编码

参考文章

https://zhuanlan.zhihu.com/p/23309154
http://www.cnblogs.com/-new/p/7135814.html

tobby52
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
安全服务面试总结(第五弹 XSS 跨站脚本漏洞)
qq_42488061的博客
09-25 276
XSS,跨站脚本攻击,在owasp常见漏洞排行中排第三名,是最常见web安全漏洞之一。 xss存在的原因只要是攻击者在网页中嵌入恶意的攻击脚本,通常是JavaScript编辑的恶意代码。 存在xss漏洞的网站,可以轻松盗取Cookie、改变网页内容、URL跳转等一系列的危害。 xss主要分为以下三种类型反射性XSS,存储型xss还有DOM型XSS。 反射型xss 存储型xss Dom型xss ...
web攻击方法及防御总结
weixin_33881041的博客
04-16 342
1. CSRF (cross-site request forgery)跨站请求伪造 一句话概括: 当用户浏览器同时打开危险网站和正常网站,危险网站利用图片隐藏链接,或者js文件操纵用户生成错误请求给正常网站。此时因为用户会携带自己的session验证。危险网站发出的请求得以执行。 根本原因:web的隐式身份验证机制解决办法: 为每一个...
史上最全网络安全面试题+答案
jennycisp的博客
05-30 728
前端代码未被解析被代入到数据库导致数据库报错。
(后端)十种网络攻击行为介绍 您能顶住几个?(转)
weixin_30692143的博客
02-08 887
转自脚本之家: 近几年,互联网的应用呈现出一种爆发增长的态势,网速越来越快,能够遍寻的软件越来越多,初级黑客凭借一些入门的教程和软件就能发起简单的攻击;另一方面,电脑的价格持续下降,企业内部的终端数量也在逐步增加,更多的资源,更复杂的网络使得IT运维人员在管控内网时心力交瘁,面对这些内忧外患,我们不得不重新审视网络安全问题。下面,我们将介绍一些攻击行为案例,对于这些行为不知您是否遇到过?您的网...
【安全面试】安全面试总结1
SunJ3t的菠萝屋
07-31 3230
这是我在面试中被问到一些问题,主要偏向基础知识,如有错误,还望指正。 1. sql注入 1. 原理 攻击者通过构造一些恶意的SQL语句,让后台的数据库去解析,从而达到入侵目标网络,获取敏感信息 2. sql注入分类 主要分为以下两类: 数字型 字符型 细分的话可以分为: 联合查询注入 多语句查询注入 报错注入 布尔型注入 基于时间延迟注入 宽字节注入 等等 3....
常见Web网站攻击手段
何哥的博客
11-21 2981
网络安全不容忽视,整理常见Web网站攻击手段如下: XSS攻击 CSRF攻击 SQL注入攻击 文件上传漏洞 DDoS攻击 其他攻击手段 一、XSS攻击 XSS(Cross Site Scripting)跨站脚本攻击,为了不与层叠样式表(CSS)混淆,故将跨站脚本攻击缩写为XSS。原理即在网页中嵌入恶意脚本,当用户打开网页时,恶意脚本便开始在用户浏览器上执行,以盗取客户端cookie、用户名、密码,甚至下载木马程式,危害可想而知。 场景1:以一个表单输入举例说明 <input
Web 常见面试题
10-04
该文档整理web常见面试题,包括一下内容: 1. 谈谈你对http协议的理解,http 常见的状态码有哪些 2. GET 和 POST 的区别(4个) 3. http 中重定向和请求转发的区别(8个) 4. Cookie 和 Session
区别 5. 什么...
整理的2023年关于MYSQL数据库的面试题集锦
最新发布
06-10
整理的2023年关于MYSQL数据库的面试题集锦整理的2023年关于MYSQL数据库的面试题集锦整理的2023年关于MYSQL数据库的面试题集锦整理的2023年关于MYSQL数据库的面试题集锦整理的2023年关于MYSQL数据库的面试题集锦整理...
面试题整理面试题整理.zip
07-30
"面试题整理.zip"这个压缩包显然包含了面试官可能会问到的各种问题,旨在帮助应聘者更好地准备技术面试。这份资源可能涵盖了多个IT领域的核心知识点,包括但不限于编程语言、数据结构、算法、操作系统、数据库、网络...
Java高级面试题整理及答案.md
01-26
Java经典高级2023面试题大全带答案.pdf 发现网上很多Java面试题都没有答案,所以花了很长时间搜集整理出来了这套Java面试题,0积分直接下载
MySql常见面试题整理
02-13
可以说这一篇(宝典),熟知本文80%以上内容,找个开发工作问题不大。适合新手和经验丰富的候选人获得他们梦想的工作。对3-5年经验的朋友,也是快速温习的利器!许多事情看似比登天还难的事情,有时候轻而易举就能...
常见WEB攻击方法有哪些
人若无名,便可专心练剑
02-11 378
常见WEB攻击方法有哪些:
史上最全网络安全面试题总结
03-17 2万+
新的一年,难免有不少小伙伴面临跳槽或者找工作,本文总结了常见的安全岗位面试题,方便各位复习。祝各位事业顺利,财运亨通。 php爆绝对路径方法? 单引号引起数据库报错 访问错误参数或错误路径 探针类文件如phpinfo 扫描开发未删除的测试文件 google hacking phpmyadmin报路径:/phpmyadmin/libraries/lect_lang.lib.php 利用漏洞读取配置文件找路径 恶意使用网站功能,如本地图片读取功能读取不存在图片,上传点上传不能正常导入的文件 你常用的渗
一文读懂 Web 安全
u011192674的博客
07-28 859
Web 安全是互联网中不可或缺的一个领域,这个领域中诞生了大量的黑帽子与白帽子,他们都是安全领域的王者,在平时里,他们利用各种巧妙的技术互相博弈,时不时就会掀起一场 Web 安全浪潮,真可谓神仙打架,各显神通。 本文从一个吃瓜群众的角度,聊一聊 Web 安全的一些有趣故事。 安全世界观 安全攻防案例 总结与思考 安全世界观 在互联网发展之初,IE 浏览器垄断的时期,大家上网的目的都很单纯,主要通过浏览器分享信息,获取新闻。但随着互联网的不断发展发展,一个网页能做的事情越来越多,除了看新闻,我们还可以看视
网络安全面试题
热门推荐
fzx_hsaj的博客
02-12 6万+
在当今社会网络安全行业越来越发达,也有越来越多的人去学习,为了更好地进行工作,除了学好知识外还要应对企业的面试。 所以在这里我归总了一些网络安全方面的常见面试题,希望对大家有所帮助。 windows常见 1:描述tcp/udp的区别及优劣,及其发展前景 TCP—传输控制协议,提供的是面向连接、可靠的字节流服务。当客户和服务器彼此交换数据前,必须先在双方之间建立一个TCP连接,之后才能...
常见web攻击手段
diansheshi4163的博客
07-05 344
XSS:跨站脚本攻击 -典型实例为: 当用户在表达输入一段数据后,提交给服务端进行持久化。如果此用户输入的是一段脚本语言,而服务端 用户输入的数据没有经过转码、校验等就存入了数据库,在其他页面需要展示此数据时,就会执行此用户输入的语言。简单来说,JS的强大不用我来解释吧 -推荐防御措施: 对用户输入的信息进行转义,例如<>'等等特殊字符。当然,其实很多前端框架...
一种新型攻击手法:供应链攻击
weixin_33704591的博客
09-04 1009
本文讲的是 一种新型攻击手法:供应链攻击,Positive Technologies 揭示:今年早些时候将行动扩张至美国后,金钱驱动的“Cobalt”网络犯罪团伙改变了战术,如今采用供应链攻击对公司企业的合作伙伴下手。 Cobalt在2016年被发现,目前全球范围内活跃,可快速应对银行的保护措施,其对公司员工基础设施和账户的恶意使用就是明证。研究人员...
常见的网络攻击及解决方案(附源码)
麻瓜哇哇哇的博客
05-04 5454
简介 作为前端攻城狮,web安全是每个开发人员必须了解的,这也是面试经常会被问到的问题,本文我就将我所了解的常见攻击方式以及预防,和大家做个分享,如有不对的地方,欢迎大神指导。 首先,浏览器的同源策略(这个我在之前跨域的文章中有讲,有不明白的朋友可以先看下那篇文章)是浏览器安全的基础,许多客户端脚本攻击,都需要遵顼这一法则,因此理解同源策略对于客户端攻击有着重要意义,一旦同源策源出现漏洞被绕过,将...
网络常见攻击方法分类
gerryking的专栏
05-10 1032
拒绝服务攻击 利用性攻击 扫描窥探攻击 畸形报文攻击 假消息攻击 中间人攻击
HTML5面试题面试整理(含答案)最新版.docx
12-30
HTML5面试题面试整理 HTML5是目前最新的HTML标准,广泛应用于Web开发中。在HTML5的面试中,以下是几个常见问题和答案。 一、 Doctype 的作用? 严格模式和混杂模式的区分,以及如何触发这两种模式? <!DOCTYPE>声明...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值