常见网络攻击及处理办法

最新推荐文章于 2024-01-17 17:28:17 发布
最新推荐文章于 2024-01-17 17:28:17 发布
阅读量2.9k 收藏 2
点赞数 3
分类专栏: 技术

跨站请求伪造(CSRF)

原理

危害是攻击者可以盗用你的身份,以你的名义发送恶意请求。比如可以盗取你的账号,以你的身份发送邮件,购买商品等

例子

在某个论坛管理页面,管理员可以在list.php页面执行删除帖子操作,根据URL判断删除帖子的id,像这样的一个URL

http://localhost/list.php?action=delete&id=12

当恶意用户想管理员发送包含CSFR的邮件,骗取管理员访问http://test.com/csrf.php,在这个恶意网页中只要包含这样的html语句就可以利用让管理员在不知情的情况下删除帖子了

<img alt="" src="http://localhost/list.php?action=delete&id=12"/>

使用post修改信息就安全了么?

<?php
   $action=$_POST['action'];
   $id=$_POST['id'];
   delete($action,$id);
?>

同样可以攻击

<!DOCTYPE html>
<html>
  <body>
    <iframe display="none">
      <form method="post" action="http://localhost/list.php">
        <input type="hidden" name="action" value="delete">
        <input type="hidden" name="id" value="12">
             <input id="csfr" type="submit"/>
      </form>
    </iframe>

        <script type="text/javascript">
           document.getElementById('csfr').submit();
    </script>
  </body>
</html>

如何防范

  1. 使用post,不使用get修改信息

  2. 验证码,所有表单的提交需要验证码,但是貌似用起来很麻烦,所以一些关键的操作可以

  3. 在表单中预先植入一些加密信息,验证请求是此表单发送

跨站脚本攻击(XSS)

原理

跨站脚本攻击(Cross Site Script为了区别于CSS简称为XSS)指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。

例子

我们有个页面用于允许用户发表留言,然后在页面底部显示留言列表

<!DOCTYPE html>
<html>
<head>
    <?php include('/components/headerinclude.php');?></head>
    <style type="text/css">
        .comment-title{
            font-size:14px;
            margin: 6px 0px 2px 4px;
        }

        .comment-body{
            font-size: 14px;
            color:#ccc;
            font-style: italic;
            border-bottom: dashed 1px #ccc;
            margin: 4px;
        }
    </style>
    <script type="text/javascript" src="/js/cookies.js"></script>
<body>
    <form method="post" action="list.php">
        <div style="margin:20px;">
            <div style="font-size:16px;font-weight:bold;">Your Comment</div>
            <div style="padding:6px;">
                Nick Name:
                <br/>
                <input name="name" type="text" style="width:300px;"/>
            </div>
            <div style="padding:6px;">
                Comment:
                <br/>
                <textarea name="comment" style="height:100px; width:300px;"></textarea>
            </div>
            <div style="padding-left:230px;">
                <input type="submit" value="POST" style="padding:4px 0px; width:80px;"/>
            </div>
            <div style="border-bottom:solid 1px #fff;margin-top:10px;">
                <div style="font-size:16px;font-weight:bold;">Comments</div>
            </div>
            <?php 
                require('/components/comments.php'); 
                if(!empty($_POST['name'])){
                    addElement($_POST['name'],$_POST['comment']);
                }
                renderComments();
            ?>
        </div>
    </form>
</body>
</html>

addElement()方法用于添加新的留言,而renderComments()方法用于展留言列表,网页看起来是这样的
这里写图片描述
因为我们完全信任了用户输入,但有些别有用心的用户会像这样的输入
这里写图片描述

这样无论是谁访问这个页面的时候控制台都会输出“Hey you are a fool fish!”,如果这只是个恶意的小玩笑,有些人做的事情就不可爱了,有些用户会利用这个漏洞窃取用户信息、诱骗人打开恶意网站或者下载恶意程序等

如何防范

上面演示的是一个非常简单的XSS攻击,还有很多隐蔽的方式,但是其核心都是利用了脚本注入,因此我们解决办法其实很简单,不信赖用户输入,对特殊字符如”<”,”>”转义,就可以从根本上防止这一问题,当然很多解决方案都对XSS做了特定限制,如上面这中做法在ASP.NET中不幸不同,微软validateRequest对表单提交自动做了XSS验证。但防不胜防,总有些聪明的恶意用户会到我们的网站搞破坏,对自己站点不放心可以看看这个XSS跨站测试代码大全试试站点是否安全。

热心市民王先生
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
常见网络安全设备简介.pptx
06-08
可以快速地应对恶意攻击者对Web业务带来的冲击,让网站免遭Web攻击侵扰并对网站代码进行合理加固 常见网络安全设备简介全文共30页,当前为第11页。 常见应用安全产品——web应用防火墙(WAF) 路由器 核心交换机 接...
总结几种常见网络攻击,及解决方案
hgswsdn的博客
05-29 1万+
背景:最近公司技术分享,同事分享了常见的安卓系统攻击方式,作为一个服务端的开发工程师,当然是也要科普一下web安全。本文章会简单介绍一下目前常见的web常见攻击方式,跟如何应对这些攻击方式。如果你对这方面有兴趣,就一起看下去吧(✪ω✪)!! 常见网络攻击有哪些 首先呢简单介绍一下目前常见的几种网络攻击: XSS攻击、SQL注入、CSRF攻击、上传文件攻击、DDos攻击 XSS攻击:Cross Site Script跨站脚本攻击,它指的是恶意攻击者往Web页面里插入恶意的html+javascript的脚本
【网络安全】15种常见网络攻击类型及防御措施
A1_3_9_7的博客
01-17 1034
网络攻击是指攻击者出于盗窃、勒索、破坏或其他恶意原因试图获得对 IT 系统的未授权访问。当然,大量的安全事件是内部人员造成的——无论是疏忽还是恶意。但是,为了简单起见,我们假设网络攻击是由不是或曾经不是您组织成员的人执行的。
10大常见网络安全攻击手段及防御方法总结
yz_weixiao的博客
12-23 935
相关研究表明,跨站脚本攻击大约占据了所有攻击的40%,是最为常见的一类网络攻击。但尽管最为常见,大部分跨站脚本攻击却不是特别高端,多为业余网络罪犯使用别人编写的脚本发起的。跨站脚本针对的是网站的用户,而不是Web应用本身。恶意黑客在有漏洞的网站里注入一段代码,然后网站访客执行这段代码。此类代码可以入侵用户账户,激活木马程序,或者修改网站内容,诱骗用户给出私人信息。防御方法:设置Web应用防火墙可以保护网站不受跨站脚本攻击危害。WAF就像个过滤器,能够识别并阻止对网站的恶意请求。
常见网络攻击
abbe1809927446的博客
04-10 660
木马病毒常常是在不知情的情况下,随着其他软件或文件的下载安装而被用户下载到计算机中,攻击者在背后操控,盗取用户的个人信息、账号密码等,并通过命令控制用户计算机,进行远程控制和攻击。黑客攻击(Hacking)是指攻击者通过编写恶意代码、猜测密码、突破漏洞等方式入侵用户计算机网络,如企业、政府机构、银行、电商等网站,窃取有价值的信息资料,对计算机系统进行破坏、篡改、勒索等活动。恶意软件通常通过病毒、蠕虫、僵尸网络等方式入侵用户计算机,并在背后运行,搜集用户信息,传播病毒、垃圾邮件等,造成巨大的损失和伤害。
网站被攻击的常见形式
qq_40314848的博客
09-16 391
(一)网站网页被挂马:当我们打开网站网页时,会被浏览器或电脑安全管理软件提示,此网站存在风险、此网站被挂马等报告,是因为网页和根目录文件中被植入了js,当打开网页时,触发js的命令,自动执行含有木马的脚本或php文件,从而窃取用户的隐私数据。被攻击的网站往往是一些涉及虚拟货币或有交易性质的网站。 (二)网站网页中出现大量的黑链:网站的网页一般用户看着没有什么异常,但是在网站的源代码中,往往是在最底部,出现了大量的锚文本链接,而这些链接往往被隐藏起来,字体大小为0或极限便宜位置。被攻击的目的在于,一些黑客非法
网络攻击的一般步骤
热门推荐
red_delia的博客
05-12 1万+
第一步:隐藏攻击源 利用别人的计算机 (肉机) 隐藏他们真实的 IP 地址,伪造 IP 地址,假冒用户账号等。 第二步:信息搜集 攻击者通过各种途径搜索目标信息,进行综合整理分析后,拟定攻击方案,为入侵作好充分的准备。踩点、扫描、嗅探等手段。 第三步:掌握系统控制权 攻击者们利用系统漏洞进入进入目标主机系统获得控制权。通常是系统口令猜测、种植木马、会话劫持等。 第四步:实施攻击 不同攻击者目的不同,主要是破坏机密性、完整性和可用性等。通常是下载、修改或删除敏感信息、瘫痪服务、攻击其他被信任的主机
常见网络安全攻击方式及应对策略
weixin_43672168的博客
04-03 1367
常见网络安全攻击方式及应对策略
常见网络攻击方法与防范措施
来者无穷_
07-17 3340
目录 1SYN洪泛攻击 1.1 什么是SYN洪泛攻击 1.2 防范措施 2DDos攻击 2.1 什么是DDos攻击 2.2 防范措施 3XSS攻击 3.1 什么是XSS攻击 3.2 防范措施 4SQL注入攻击 4.1 什么是SQL注入攻击 4.2 防范措施 1SYN洪泛攻击 1.1 什么是SYN洪泛攻击 SYN洪泛攻击属于 DOS 攻击的一种,它利用 TCP 协议缺陷,通过发送大量的半连接请求,耗费 CPU 和内存资源。 原理: 在三次握手过程中,服...
服务器被攻击怎么办
xyyaq的博客
03-24 1846
小蚁云安全团队接到过很多刚开始创业的公司,每当问起什么事情让他们最为头疼就是服务器被攻击,服务器是整个项目的核心,一旦出了什么问题,业务就直接挂掉 如今产业互联网时代,安全不仅是发展的底线,也成为企业数字化转型的核心竞争力。在产业互联网不断发展的同时,网络攻击事件层出不穷,攻击手段也逐渐多样化和复杂化,使得各企业网络安全问题日益突出。这里呢,小蚁君给大家推荐一款经济又实惠还靠谱的产品‘'高防IP'',那什么是高防IP呢,高防IP的原理又是什么? 一、为什么服务器会被攻击?   互联网中的服务器.
网络入侵常用方法及防护
06-21
其实,在虚拟的网络世界中,现实生活中所有的阴险和卑鄙都表现得一览无余,在这样的信息时代里,几乎每个人都面临着安全威胁,都有必要对网络安全有所了解,并能够处理一些安全方面的问题。下面我们就来研究一下那些...
计算机常见小问题处理word加密等
07-31
给word加密的方法,u盘容量变小后的恢复,检查网络不同的方法,快速启动栏的桌面图标显示
常见安全问题解决方案V1.0.pdf
10-11
主要是针对系统漏洞常见问题给出的解决办法,主要包括网络攻击及安全漏洞
SQL注入攻击与防御
10-04
针对SQL注入隐蔽性极强的特点,本书重点讲解了SQL注入的排查方法和可以借助的工具,总结了常见的利用SQL漏洞的方法。另外,本书还专门从代码层和系统层的角度介绍了避免SQL注入的各种策略和需要考虑的问题。  本书...
springboot(酒店管理系统)
04-25
开发语言:Java JDK版本:JDK1.8(或11) 服务器:tomcat 数据库:mysql 5.6/5.7(或8.0) 数据库工具:Navicat 开发软件:idea 依赖管理包:Maven 代码+数据库保证完整可用,可提供远程调试并指导运行服务(额外付费)~ 如果对系统的中的某些部分感到不合适可提供修改服务,比如题目、界面、功能等等... 声明: 1.项目已经调试过,完美运行 2.需要远程帮忙部署项目,需要额外付费 3.本项目有演示视频,如果需要观看,请联系我 4.调试过程中可帮忙安装IDEA,eclipse,MySQL,JDK,Tomcat等软件 重点: 需要其他Java源码联系我,更多源码任你选,你想要的源码我都有! 需要加v19306446185
BP神经网络matlab实例.doc
最新发布
04-25
数学模型算法
设计.zip
04-25
设计.zip
基于 Spring Cloud 组件构建的分布式服务架构
04-25
Java SSM项目是一种使用Java语言和SSM框架(Spring + Spring MVC + MyBatis)开发的Web应用程序。SSM是一种常用的Java开发框架组合,它结合了Spring框架、Spring MVC框架和MyBatis框架的优点,能够快速构建可靠、高效的企业级应用。 1. Spring框架:Spring是一个轻量级的Java开发框架,提供了丰富的功能和模块,用于开发企业级应用。它包括IoC(Inverse of Control,控制反转)容器、AOP(Aspect-Oriented Programming,面向切面编程)等特性,可以简化开发过程、提高代码的可维护性和可测试性。 2. Spring MVC框架:Spring MVC是基于Spring框架的Web框架,用于开发Web应用程序。它采用MVC(Model-View-Controller,模型-视图-控制器)的架构模式,将应用程序分为模型层、视图层和控制器层,提供了处理请求、渲染视图和管理流程的功能。 3. MyBatis框架:MyBatis是一个持久层框架,用于与数据库进行交互。它提供了一种将数据库操作与Java对象映射起来的方式,避免了手动编写繁琐的SQL语句,并提供了事务管理和缓存等功能,简化了数据库访问的过程
Linux常见的攻击方式
05-25
Linux常见的攻击方式包括: 1. 拒绝服务攻击(Denial of Service, DoS):攻击者通过向目标系统发送大量的请求或数据包,使得目标系统无法正常处理请求,从而导致服务不可用。 2. 缓冲区溢出攻击:攻击者利用应用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值