xss
跨站脚本攻击(Cross site Scripting)
往Web页面里插入恶意代码,当用户浏览该页面时,嵌入其中的恶意代码就会执行,从而达到恶意用户的特殊目的。
危害:钓鱼、蠕虫病毒、盗取用户密码、强迫用户输入等
webshell
什么是webshell?
通过web入侵的一种脚本工具,可以据此对网站服务进行一定程度的控制。
防止服务器被上传webshell
非法上传防护
已经被上传了webshell
1、黑客要利用此脚本
2、经典的webshell特征
3、先防护Response,后防护request
非法上传
危害:攻击者向某个可通过Web访问的目录上传任意脚本
防护方法:
1、检查上传文件扩展名:扩展名黑名单(补充)
2、检查的上传文件类型:文件扩展名+文件内容
非法下载
客户端到服务器:文件扩展名检测
服务器到客户端:文件大小检测、MIME类型检测
信息泄露防护
危害:通过服务器的响应,非法用户能获取到有用信息
盗链防护
某些无良服务提供商使用未经许可的超链接引用受害站点,引用的通常是受害者服务器的图片、音频等资源,由于从这些无良提供商过来的流量间接的到了受害站点,导致受害站点带宽负载过多,网站点击率却没有提高。
注:只针对图片、视频,音频等资源防护
1、Referer防护算法
2、Referer+Cookie防护算法
cookies安全
cookies签名:
1、客户端需要使用cokie
2、防止cookie值被篡改
cookie加密:
1、需要保护cookie中的敏感信息
2、客户端得到的cookie值得加密后的密文
启用源IP校验:
1、防止cookie被盗用
2、签名或密钥与源IP有关
暴力破解防护
暴力破解:是一种针对密码的破译方式,将密码进行逐个推算直到找出真正的密码为止
策略名称 防护位置
Web通用防护(除webshell) Get、POST、HEAD、Referer、
User-Agent、Cookie、Expect
爬虫防护 User-Agent
http协议防护 所有请求长度
盗链防护 Referer的URI
Cookie安全 cookie
CSRF安全 referer
非法上传 文件名、文件体中关键字
内容过滤 服务器响应
信息泄露防护 响应码、服务器名称、出错信息
非法下载 服务器响应、文件的大小、扩展名、 MIME类型
敏感信息过滤 服务器响应