常见web攻击整理

最新推荐文章于 2024-02-23 08:00:00 发布
最新推荐文章于 2024-02-23 08:00:00 发布
阅读量921 收藏 26
点赞数 20
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42806414/article/details/135908096
版权

目录

文章目录

一、SQL注入攻击

二、跨站脚本攻击 (XSS)

三、跨站请求伪造 (CSRF)

四、Dos拒绝服务攻击

五、DNS查询攻击

六、业务漏洞

七、点击劫持

八、文件上传漏洞

九、不安全的会话管理

十、信息泄露

十一、暴力破解

十二、后门程序

十三、未经授权访问

文章目录

  • 一、SQL注入攻击
  • 二、跨站脚本攻击 (XSS)
  • 三、跨站请求伪造 (CSRF)
  • 四、Dos拒绝服务攻击
  • 五、DNS查询攻击
  • 六、业务漏洞 
  • 七、点击劫持
  • 八、文件上传漏洞
  • 九、不安全的会话管理 
  • 十、信息泄露 
  • 十一、暴力破解
  • 十二、后门程序
  • 十三、未经授权访问 

SQL注入攻击

  • 描述:攻击者通过在用户输入中注入恶意SQL查询代码,程序在执行时,将攻击者输入的恶意SQL作为查询语句的一部分执行,导致查询逻辑更改,执行了攻击者恶意的SQL代码。
  • 例举:最常见的SQL注入攻击是在查询语句后拼接字符串SQL语句如 'OR' 1 '=' 1SQL片段,当执行查询用户名和密码是否正确的SQL语句时,原本要执行的语句是SELECT * FROM user WHERE username='' and password='',在经过参数拼接后,执行语句变成了 SELECT * FROM user WHERE username='' and password='' OR '1'='1',这个时候的1=1是恒成立的,这就自然跳过了验证,实现了SLQ注入攻击。
  • 防范措施: 使用参数化查询、细致的输入验证、最小权限原则等。

跨站脚本攻击 (XSS)

  • 描述:XSS跨站脚本攻击(Cross-Site scripting)是指通过在Web应用程序中注入恶意脚本(如:非法的htmll标签或javascript)从而达到攻击的目的,如盗取用户的cookie,改变网页的DOM结构,重定向到其他网页等。XSS攻击分类包含反射型,存储型,DOM型以及FLASH。
  • 防范措施:通过输入验证方式、输出编码格式方式、使用CSP(内容安全策略)等措施进行防范。

三、跨站请求伪造 (CSRF)

  • 描述:CSRF跨站点请求伪造(Cross-Site Request Forgeries)是指攻击者通过利用受信任用户的身份,在用户不知情的情况下发送恶意请求,执行某些敏感操作,属于被动攻击。
  • 防范措施:使用CSRF令牌、检查Referer头、实施同源策略等。

四、Dos拒绝服务攻击

  • 描述:Dos拒绝服务攻击(Denial of Service attack)是一种能够让服务器呈现静止状态的攻击方式。其原理是通过发送大量的合法请求到服务器,使得服务器无法分辨这些请求是否为正常请求还是攻击请求,服务器直接全部放行,大量的请求造成服务器进入停止工作或拒绝服务的状态,从而实现攻击。Dos拒绝服务攻击有很多方式,包括:(传统的DoS攻击、DDOS分布式拒绝服务攻击、资源耗尽攻击等等)
  • 防范措施:网络流量过滤、带宽扩展、流量限制、负载均衡等防范Dos攻击。

五、DNS查询攻击

  • 描述:DNS查询攻击(DNS Query Flood)是向被攻击的服务器发送大量随机生成的域名解析请求,其中大部分请求其实根本就不存在使得服务器承受请求负载,并且通过伪造端口和客户端IP方式,防止查询请求被ACL过滤,从而实现攻击,其中注意DNS查询攻击其实是Dos攻击的一种方式之一。

  • 防范措施:根据端口号,域名 IP 主动回应结果,减轻服务器负载、对突然发起大量域名解析请求的 IP 地址进行限制、限制每个源 IP 地址每秒的域名解析请求次数等。

六、业务漏洞

  • 描述:业务漏洞是跟具体的应用程序相关,如参数篡改(连续的发送携带不同请求参数的请求)、重放攻击(发送请求又取消又再发送)、权限控制(即跨权限访问)等。

  • 防范措施:在系统设计阶段就因该考虑业务漏洞问题,应尽量避免连续发送请求、越权访问操作等。

七、点击劫持

  • 描述:攻击者通过将用户认为是安全的页面嵌入到一个透明的iframe中,然后引导用户点击透明的页面上的按钮,实现攻击。
  • 防范措施: 使用frame跳转防护、X-Frame-Options头、点击劫持的检测和提示等防范攻击。

八、文件上传漏洞

  • 描述:攻击者通过上传包含恶意内容的文件,绕过应用程序的文件上传校验和限制等操作,执行任意恶意操作,实现攻击。
  • 防范措施:限制文件类型和大小、验证上传文件内容、将上传文件存储在安全位置等防范攻击。

九、不安全的会话管理

  • 描述:攻击者以试图截获、劫持或猜测用户的会话标识方式,以获取未经授权的访问,执行恶意操作,实现攻击。
  • 防范措施:使用安全的cookie属性、定期更新会话令牌、使用HTTPS等防范攻击。

十、信息泄露

  • 描述:由于 Web 服务器或Web应用程序没有正确的处理一些特殊的请求,泄露了 Web 服务器的一些敏感信息。

  • 防范措施:保证源代码、过滤用户提交的数据与特殊字符、敏感信息加密传输、服务器配置的安全等。

十一、暴力破解

  • 描述:暴力破解一般情况下只针对密码,因为安全性低的密码很容易被攻击者猜到或被使用破解工具暴力破解。

  • 防范措施:密码复杂度要足够大同时也要保证密码足够隐蔽、限制尝试次数、加锁等。

十二、后门程序

  • 描述:后门程序一般多指那些绕过安全性控制从而获取对程序或系统访问权限的方法。

  • 防范措施:使用非对称后门接口进行软件进行更新,避免对称后门接口, 给后端程序加保护膜,定时更新去除后门的补丁程序等。

十三、未经授权访问

  • 描述:攻击者以某种特殊手段试图访问未经授权的资源或执行未经授权的操作,实现攻击。
  • 防范措施:严格的身份验证、访问控制列表(ACL)、最小权限原则等防范攻击。

一直在学习的路上__maoer
关注
  • 20
    点赞
  • 26
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
常见web攻击总结
ltycsdn007的博客
09-05 1311
Web开发离不开安全这个话题,确保网站或者网页应用的安全性,是每个开发人员都应该了解的事。本篇主要简单介绍在Web领域几种常见攻击手段及Java Web中的预防方式。 XSS SQL注入 DDOS CSRF 1. XSS 什么是XSS XSS攻击:跨站脚本攻击(Cross-Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆...
web考试资料整理.rar
12-06
5. **Web漏洞分析**:常见Web漏洞的识别和利用,如SQL注入、命令注入、文件包含漏洞、路径遍历等,以及如何修复这些漏洞。 6. **OWASP十大安全威胁**:了解Open Web Application Security Project (OWASP)列出的...
web常见攻击方式
热门推荐
weixin_50736511的博客
04-18 1万+
xss攻击 用户通过浏览器访问web网页,xss攻击通过各种办法在用户访问页面的时候,插入一些自己的代码或者脚本,让用户访问页面的时候,就可以执行这个脚本,攻击者通过插入的脚本的执行就会获得一些信息(比如cookie),发送到攻击者自己的网站,这就是跨站 xss的危害 1.挂马 把一个木马程序插入一个网站中,利用木马生成器生成一个网码,在传到服务器上,加上一写代码就可以让这个木马程序在打开网页的时候运行, 2.盗取用户的cookie 3.DDOS(拒绝服务)客户端浏览器 4.钓鱼攻击 5.删除目标文章,恶意
浅谈常见的几种web攻击
WKY_CSDN的博客
05-12 701
一、Dos攻击(Denial of Service attack) 是一种针对服务器的能够让服务器呈现静止状态的攻击方式。有时候也加服务停止攻击或拒绝服务攻击。其原理就是发送大量的合法请求到服务器,服务器无法分辨这些请求是正常请求还是攻击请求,所以都会照单全收。海量的请求会造成服务器停止工作或拒绝服务的状态。这就是Dos攻击。 二、跨站点请求伪造(CSRF,Cross-Site Req
常见web攻击
weixin_33862993的博客
04-17 446
XSS-跨站脚本攻击 CSRF-跨站请求伪造 点击劫持 SQL注入 OS注入 请求劫持 DDOS XXS 名称 简称: XSS 英文: Cross Site Scripting 全称: 跨站脚本攻击 定义: XSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本 场景 jsonp、e...
常见web攻击
煮酒闲谈
10-12 1411
常见web攻击HTML注入HTML 注入向站点和开发者展示了漏洞,因为他可以用于误导用户,并且欺骗它们来提交一些敏感信息,或者浏览恶意网站。就像钓鱼攻击那样。CRLF注入CRLF 注入是一类漏洞,在用户设法向应用插入 CRLF 时出现。在多种互联网协议中,包括HTML,CRLF 字符表示了行的末尾,通常表示为 \r\n ,编码后是 %0D%0A 。在和 HTTP 请求或响应头组合时,这可以用于表示一
Web攻击检测与分类识别数据集(自己整理所得)
10-16
这个数据集是你个人整理得出的,包含了多种常见Web攻击类型,旨在帮助研究者或安全专家进行深入分析和防御策略的制定。下面将详细解释这些攻击类型以及它们在实际中的表现和防范措施。 1. **目录遍历攻击**: 这种...
WEB前端测试点汇总整理
03-29
WEB前端测试点汇总整理】 在进行WEB前端测试时,我们需要关注多个方面,包括功能、性能和安全等关键要素,确保应用的稳定性和用户体验。以下是一些常见的测试点: 1. **输入框测试** - **字符型输入框**:测试...
web后端知识整理 初学者.zip
12-01
【标题】"web后端知识整理 初学者.zip" 提供了一个针对初学者的Web后端技术学习资源,其中包含了核心概念、框架和技术栈的概述。这个压缩包中包含了一个名为"web后端.gmind"的文件,可以推测这是一个思维导图文件,...
web:前端面试题整理
03-25
本篇文章将深入探讨“web:前端面试题整理”这一主题,旨在为准备前端面试的开发者提供全面的知识点概览。 首先,前端开发的核心技术包括HTML(超文本标记语言)、CSS(层叠样式表)和JavaScript。HTML用于定义网页...
常见web网站攻击
trenki的博客
06-27 1067
1.XSS跨站脚本攻击 XSS (Cross-Site Scripting),跨站脚本攻击,因为缩写和 CSS重叠,所以只能叫 XSS。跨站脚本攻击是指通过存在安全漏洞的Web网站注册用户的浏览器内运行非法的非本站点HTML标签或JavaScript进行的一种攻击常见攻击手段: 攻击手段: 1.利用url参数直接注入:http://localhost/?from=\<script>任意代码\</script>,某些网站会直接将url的参数读取再写入到网页。 2.存储到数据库之后再读
常见 Web 攻击介绍
huanghjunjun的博客
10-14 453
常见 Web 安全总结
常见web攻击有哪些?如何防御?
weixin_46886227的博客
04-03 7325
web攻击是什么 Web攻击(WebAttack)是针对用户上网行为或网站服务器等设备进行攻击的行为,如植入恶意代码、修改网站权限、获取网站用户隐私信息等 Web应用程序的安全性是任何基于Web业务的重要组成部分 确保Web应用程序的安全十分重要,即使是代码中很小的bug也有可能导致隐私信息被泄露,站点安全就是为了保护站点不受未授权的访问、使用、修改和破坏而采取的行为或实践 常见Web攻击有: XSS (Cross Site Scripting) 跨站脚本攻击 CSRF(Cross-site
Web常见攻击方式
javagty6778的博客
03-03 1059
在上段代码中,我们可以看到攻击者在它的页面上构建了一个隐藏的表单,该表单内容就是一个某网站的转账接口,当用户打开该站点之后,这个表单就会被自动执行提交;攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击的网站发送跨站请求。4.当小明看到广告,点开链接,这时,恶意代码就存在在了小明的浏览器上,由于小明的淘宝处于登录状态,所以恶意代码可以获取小明的Cookie,故也能。诱骗用户点击URL带攻击代码的链接,服务器解析后响应,在返回的响应内容中隐藏和嵌入攻击者的XSS代码,被浏览器执行,从而攻击用户。
十种常见web攻击
qq_44725582的博客
05-15 2424
1.Dos拒绝服务攻击 介绍:Dos拒绝服务攻击(Denial of Service attack)是一种能够让服务器呈现静止状态的攻击方式。其原理就是发送大量的合法请求到服务器,服务器无法分辨这些请求是正常请求还是攻击请求,所以会照单全收。海量的请求造成服务器进入停止工作或拒绝服务的状态。 DDOS分布式拒绝服务攻击(Distributed Denial of Service)就是在DOS攻击基础上借助公共网络,将大数量的计算机设备联合起来,向一个或多个目标发送大量请求使使服务器瘫痪。DDoS攻击可以针对
常见Web网站攻击手段
何哥的博客
11-21 3000
网络安全不容忽视,整理常见Web网站攻击手段如下: XSS攻击 CSRF攻击 SQL注入攻击 文件上传漏洞 DDoS攻击 其他攻击手段 一、XSS攻击 XSS(Cross Site Scripting)跨站脚本攻击,为了不与层叠样式表(CSS)混淆,故将跨站脚本攻击缩写为XSS。原理即在网页中嵌入恶意脚本,当用户打开网页时,恶意脚本便开始在用户浏览器上执行,以盗取客户端cookie、用户名、密码,甚至下载木马程式,危害可想而知。 场景1:以一个表单输入举例说明 <input
常见Web攻击手段,拿捏了!
Cbuc丶的博客
08-15 1129
大家好,我是小菜。 一个希望能够成为 吹着牛X谈架构 的男人!如果你也想成为我想成为的人,不然点个关注做个伴,让小菜不再孤单! 本文主要介绍 互联网中常见Web 攻击手段 如有需要,可以参考 如有帮助,不忘 点赞 ❥ 微信公众号已开启,小菜良记,没关注的同学们记得关注哦! 午饭期间,读者小李与我闲聊,谈到上周去面试的过程。经典的高开低走,面试初期答的还可以,但是到后面却不尽人意。其中有个面试问题引起了我的注意,面试官当时问小李:你知道有哪几种常见Web 攻击手段吗? Web 攻击手段?对于开发
web常见攻击方式有哪些?如何防御?
最新发布
常来常往,共同成长
02-23 1219
Web攻击WebAttack)是针对用户上网行为或网站服务器等设备进行攻击的行为 如植入恶意代码,修改网站权限,获取网站用户隐私信息等等 Web应用程序的安全性是任何基于Web业务的重要组成部分 确保Web应用程序安全十分重要,即使是代码中很小的 bug 也有可能导致隐私信息被泄露 站点安全就是为保护站点不受未授权的访问、使用、修改和破坏而采取的行为或实践
常见Web攻击方式有哪些?黑客:28种总有一款适合你
weixin_48906169的博客
02-09 707
web常见28种黑客入侵方式
学习Ajax的心得,解决常见问题,整理简单通用的Web前端技术分类
学习Ajax可以帮助我们更好地开发Web前端,并解决一些常见的问题。在学习Ajax过程中,我研究了网上的代码,并学习了几个框架,如dojo、jquery等。最终,我整合了自己需要的代码片段,以便在不同的web开发环境中实用。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值