web常见攻击总结

最新推荐文章于 2023-04-18 12:48:20 发布
最新推荐文章于 2023-04-18 12:48:20 发布
阅读量112 收藏
点赞数
文章标签: 前端 后端 数据库 ViewUI
原文链接:http://www.cnblogs.com/mengff/p/6912786.html
版权

1.Sql注入

  攻击者把sql命令插入到web表单的输入域或页面请求的查询字符串,
  欺骗服务器执行恶意的sql命令

  防御措施

  前端:
  1.正则验证字符串格式
  2.过滤字符串的非法字符

  后端:
  1.不要直接拼接sql,要使用参数化查询
  2.使用存储过程代替sql查询

2.XSS(Cross site Scripting,跨站脚本攻击)

  XSS本质是一种注入攻击,用户的输入或者URL的参数,总之就是客户端的输入,被接收后,又显示在了html中。

  常见的有反射型(非持久性),存储型(持久性)等。

  (1). 反射型(利用URL后面的参数来注入恶意代码)

  将js脚本添加到查询字符串中,将含有脚本的链接传播为用户,用户点开链接,
  脚本会执行,客户获取用户cookie,或执行其他危险操作。

  (2). 存储型(利用表单将恶意代码提交到服务器数据库)

  通过表单输入将脚本存储到服务器的数据库中,当其他人打开页面的时候,脚本
  就会执行,可以获取用户cookie,或修改用户界面显示等操作。

  防御措施

  前端:

  1.对用户输入进行校验,过滤,编码和转义

  后端:

  1.对输入的字符进行过滤,编码,替换
  2.对输出的字符进行编码

3.CSRF(Cross site request forgery,跨站请求伪造)

  模拟网站用户想网站发起请求,进行非法操作或得到非法结果。

  防御措施

  1.验证Http Referer的值

  验证http头部的referer,判断请求来源是合法的地址,才进行处理,
  否则拒绝响应。

  2.使用请求令牌

  访问页面时,服务端在页面写入一个随机token,并设置token过期时间。
  请求必须带上token,请求过的token会失效,无法再用。此种token方法
  也可以防止表单重复提交,在登录等安全性要求高的页面,使用验证码

  3.幂等的GET请求

  GET请求不要执行任何修改数据操作,仅通过POST,PUT,DELETE请求修改网站内容

4.防盗链

  盗链会增加服务器的负担。盗链主要是对网站图片,视频以及其他资源文件的下载。

  防御措施

  判断ip地址和域名,只有白名单中的ip和域名才能返回资源,否则,
  不予处理,或者返回一个网站logo。

转载于:https://www.cnblogs.com/mengff/p/6912786.html

林尧彬
关注
Web中间件常见漏洞总结.pdf
06-14
中间件的安全问题常常成为黑客攻击的目标,因此深入理解和掌握Web中间件常见漏洞的知识对于网络安全防护至关重要。下面,我们将围绕文档提及的IIS中间件,总结常见漏洞类型及修复建议。 1. IIS解析漏洞 IIS解析...
SQL注入漏洞-SQL注入原理与实践
HacHunter的博客
03-03 1251
什么是SQL注入?:所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。 MySQL基础语法:MySQL 教程_w3cschool 浏览器打开sqli.com/sqli-1.php,其源码如下...
SQL注入用到的SQL函数
m0_61368098的博客
08-19 2273
所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。应用程序使用用户输入的内容来构造动态sql语句以访问数据库,恶意用户通过提交恶意sql语句拿到网站数据库中所有的数据。联合查询时,常为显示位不足的问题困扰,数据多的话一个一个查工作量大,主要是效率低,而连接函数就可以解决这个问题。)不然执行不了,在注入时这个分号是不用加的。报错注入需要用到的函数-----------floor。查询结果正确,返回1,查询结果错误,返回0。
WEB漏洞—SQL注入之SQL注入漏洞
最新发布
qq_61861243的博客
04-18 1988
攻击者利用Web应用程序对用户输入验证上的疏忽,在输入的数据中包含对某些数据库系统有特殊意义的符号或命令,让攻击者有机会直接对后台数据库系统下达指令,进而实现对后台数据库乃至整个应用系统的入侵。
漏洞挖掘的小知识
LHBD_R的博客
11-07 1300
文章有问题可以私聊,以便于我修改错误
web常见的各种攻击和防御
wen_special的博客
05-26 2652
XSS攻击 跨站脚本攻击; 是什么:攻击者向有XSS漏洞的网站中输入恶意的HTML代码,当其浏览器浏览该网站时,这段HTML代码会自动执行。(理论上所有可以输入的地方没有对输入的数据进行处理,都会存在XSS攻击); 危害: 盗取用户cookie,破坏页面结构,重定向到其他网站; 防御:对用户输入的信息进行处理,只允许合法的值; CSRF攻击 跨站请求伪造 是什么:攻击者盗用了你的身...
web中间件常见漏洞总结.pdf
12-14
以下是对这些常见漏洞的详细总结: 1. **SQL注入**:当Web应用未能正确过滤或转义用户输入的数据时,攻击者可以插入恶意SQL语句,从而获取敏感信息、篡改数据甚至完全控制数据库。 2. **跨站脚本(XSS)**:XSS...
WEB前端常见攻击方式及解决办法总结
10-15
WEB前端常见攻击方式及解决办法】 WEB前端的安全问题不容忽视,因为它直接影响到用户的个人信息安全和网站的正常运行。本文主要关注四种常见攻击方式及其防范措施:SQL注入、跨站脚本攻击(XSS)、跨站请求...
web-security:常见web攻击总结
05-09
新建post数据库,导入post.sql。 模拟XSS,运行xss module中的... ... 模拟csrf,启动csrf-defence module中application,端口是8081,此为被攻击网站,启动 csrf-attack中的CSRFApplication,端口为8082,此为攻击网站。
WEB安全知识总结.zip
12-27
总结将深入探讨一些常见Web漏洞及其防范措施,帮助读者快速掌握Web安全的基本知识。 1. **SQL注入**:这是一种允许攻击者通过在Web应用程序的输入字段中插入恶意SQL代码来获取、修改或删除数据库信息的攻击方式...
Web攻防实验报告
01-24
Web攻防实验报告,设计WebGoat攻击和预防以及XSS攻击预防的详细实验步骤,了解Web攻防原理
SQL注入式攻击的解决办法
晓军的世界
04-20 910
所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击常见的SQL注入式攻击过程类如:   ⑴ 某个ASP.NET Web应用有一个登录页面,这个登录页面控制着用户是否有权访问应用,它要求用户输入
web常见攻击及防范措施
gaoqiang1112的博客
12-06 1833
首先简单介绍几种常见攻击方式: SQL注入 XSS CSRF 点击劫持 中间人攻击 1.SQL 注入 这是一种比较简单的攻击方式。 如果后台人员使用用户输入的数据来组装SQL查询语句的时候不做防范, 遇到一些恶意的输入,最后生成的SQL就会有问题。 比如地址栏输入的是: articlrs/index.php?id=1 发送一...
归结web网站攻击与防范
blackwithwhite的博客
10-24 415
一般现在常见的网站攻击方式        sql注入,xss攻击,csrf攻击,文件上传漏洞,访问控制。这些是一般网站容易发生的攻击方式,接下来我们一一分析它们是如何攻击以及防范的。 一、sql注入 什么是sql注入?         sql注入说的通俗一些就是用户在http请求中注入而已的代码,导致服务器使用数据库sql命令时,导致恶意sql一起被执行。 用户登录,输入用户名
常见web攻击总结
ltycsdn007的博客
09-05 1327
Web开发离不开安全这个话题,确保网站或者网页应用的安全性,是每个开发人员都应该了解的事。本篇主要简单介绍在Web领域几种常见攻击手段及Java Web中的预防方式。 XSS SQL注入 DDOS CSRF 1. XSS 什么是XSS XSS攻击:跨站脚本攻击(Cross-Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆...
sql注入式攻击
lxrj2008的专栏
06-30 1068
     所谓sql注入式攻击,就是攻击者把sql命令插入到web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的sql命令。在某些表单中,用户输入的内容直接用来构造或者影响动态sql命令,或者作为存储过程的输入参数,这类表单特别容易受到sql注入式攻击。     常见的sql注入式攻击过程如下。     (1)某个asp.net web页面有一个登录页面,这个登录页面控制着用户是
WEB网站常见攻击方式及解决办法
问道江湖
02-26 1094
      一个网站建立以后,如果不注意安全方面的问题,很容易被人攻击,下面就讨论一下几种漏洞情况和防止攻击的办法. 一.跨站脚本攻击(XSS)     跨站脚本攻击(XSS,Cross-site scripting)是最常见和基本的攻击WEB网站的方法。攻击者在网页上发布包含攻击性代码的数据。当浏览者看到此网页时,特定的脚本就会以浏览者用户的身份和权限来执行。通过XSS可以比较容易地修改...
WEB安全渗透总结
michael_linux的博客,一个小小小学生。滴水穿石,步步为营,只为那刹那芳华。
07-29 2057
文件上传漏洞 SQL注入攻击 XSS注入攻击 WEB漏洞扫描之AWVS WEB漏洞扫描之AppScan WEB漏洞扫描之BurpSuite SSH密码暴力破解 中间人攻击 owasp_broken_web_apps kali-linux
常见的六种web攻击及防御
lyn1772671980的博客
07-14 1880
前言 在互联网时代,数据安全与个人隐私受到了前所未有的挑战,各种新奇的攻击技术层出不穷。如何才能更好地保护我们的数据?本文主要侧重于分析几种常见攻击的类型以及防御的方法。 想阅读更多优质原创文章请猛戳GitHub博客。 一、XSS XSS (Cross-Site Scripting),跨站脚本攻击,因为缩写和 CSS重叠,所以只能叫 XSS。跨站脚本攻击是指通过存在安全漏洞的Web网站注册用户的浏览器内运行非法的HTML标签或JavaScript进行的一种攻击。 跨站脚本攻击有可能造成以下影响:
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值