一、跨站脚本攻击
1、概念和原理:(corss-site Scriptting)攻击者通过在用户浏览的网页上注入脚本代码,包括HTML,JavaScripts,获取用户 的cookies,使用用户的账号登录已经被该cookies登录过的网站;
2、危害:
①获取用户的cookies;
②显示伪造的输入表单骗取用户私人信息;
③显示伪造的图片和文字等;
3、防范手段:
①将cookies设置为httponly,设置之后,可以防止JavaScript的调用,避免通过document.cookies获取cookies;
②过滤特殊字段;
二、跨站伪造请求
1、概念和原理:(cross-site request foregery, CSRF),是攻击者用过欺骗伪装技术,通过用户浏览器向信任该浏览器的网 站发送伪造请求,然后达到危害目标,比如伪造支付请求获取交易金;
2、防范手段:
①检查Referer首部字段:referer首部字段位于http请求报文中,用来标记请求来源地址,检查referer字段要求请求来源地址 位于同一域名下,可以大大降低CSRF攻击;
②添加校验token:在访问私密数据时,要求浏览器使用不保存在cookies中,并且不能被伪造的字段进行校验,比如服务器 的使用随机数作为校验,并要求客户端回传这个随机数;
③输入验证码:因为CSRF攻击大多是在用户不知道的情况下被攻击的,因此如果增加验证码环节,CSRF攻击就不能进行;
三、SQL注入攻击
1、概念和原理:数据库执行非法的SQL语句,主要是通过拼接实现的;
2、防范手段:
①使用参数化查询;
②使用单引号转换;
四、拒绝服务攻击
1、概念和原理:denial-of-service attack,DoS,拒绝服务攻击的目的是网站资源耗尽而导致瘫痪,其他用户无法正常访问;
分布式拒绝服务攻击:distributed denial-of-service attack, DDos,是指通过已经被攻陷的两台及以上电脑对特定目标发起“拒 绝服务式”攻击;
【参考资料】:https://cyc2018.github.io/CS-Notes/#/notes/%E6%94%BB%E5%87%BB%E6%8A%80%E6%9C%AF