常见网络攻击手段及防范

最新推荐文章于 2024-09-11 14:43:50 发布
最新推荐文章于 2024-09-11 14:43:50 发布
阅读量2k 收藏 13
点赞数 2
分类专栏: 网络攻击 攻击防范 文章标签: 网络攻击 攻击防范
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43324335/article/details/88529768
版权

文章目录

小结

  • xss 防御: 对输入(和URL参数)进行过滤,对输出进行编码; 对 cookie 设置 httponly
  • csrf 防御: 随机token

XSS 攻击

跨站脚本攻击 (Cross Site Scripting)

为了不和层叠样式表(Cascading Style Sheets,CSS)缩写混淆,所以将跨站脚本攻击缩写为xss

xss 的类型

反射型XSS

特点

是非持久化,必须用户点击带有特定参数的链接才能引起。

DOM Based XSS

实际上,这种类型的XSS并非按照“数据是否保存在服务器端”来划分的,从效果上来说也是反射型XSS单独划分出来的,因为DOM Based XSS 的形成原因比较特别。这是由于客户端脚本自身解析不正确导致的安全问题。

储存型XSS

存储型的攻击脚本被存储到了数据库或者文件中,服务端在读取了存储的内容回显了。就是存储型。这种情况下用户直接打开正常的页面就会看到被注入

博客 / 论坛 需要特别注意这类xss攻击

xss 的利用

获取 cookies , 弹窗 等等, js 能做的事情基本 xss 都能做

主要还是为了 获取 cookie, 毕竟拿到 cookie 就可以伪造身份了

xss 的防御

  • 总结: 对输入(和URL参数)进行过滤,对输出进行编码;
  • 总体思路: 对输入(和URL参数)进行过滤,对输出进行编码。

也就是对提交的所有内容进行过滤,对url中的参数进行过滤,过滤掉会导致脚本执行的相关内容;然后对动态输出到页面的内容进行html编码,使脚本无法在浏览器中执行。

对输入和URL参数进行过滤(白名单和黑名单)

主要的思路就是将容易导致XSS攻击的边角字符替换成全角字符。< 和 > 是脚本执行和各种html标签需要的,比如 <script>,& 和 # 以及 % 在对URL编码试图绕过XSS filter时,会出现。我们说对输入的过滤分为白名单和黑名单。上面的XSS filter就是一种黑名单的过滤,黑名单就是列出不能出现的对象的清单,一旦出现就进行处理。还有一种白名单的过滤,白名单就是列出可被接受的内容,比如规定所有的输入只能是“大小写的26个英文字母和10个数字,还有-和_”,所有其他的输入都是非法的,会被抛弃掉。很显然如此严格的白名单是可以100%拦截所有的XSS攻击的。但是现实情况一般是不能进行如此严格的白名单过滤的。

对于输入,处理使用XSS filter之外,对于每一个输入,在客户端和服务器端还要进行各种验证,验证是否合法字符,长度是否合法,格式是否正确。在客户端和服务端都要进行验证,因为客户端的验证很容易被绕过。其实这种验证也分为了黑名单和白名单。黑名单的验证就是不能出现某些字符,白名单的验证就是只能出现某些字符。尽量使用白名单。

对输出进行编码

在输出数据之前对潜在的威胁的字符进行编码、转义是防御XSS攻击十分有效的措施。如果使用好的话,理论上是可以防御住所有的XSS攻击的。

HttpOnly

XSS 一般利用js脚步读取用户浏览器中的Cookie,而如果在服务器端对 Cookie 设置了HttpOnly 属性,那么js脚本就不能读取到cookie,但是浏览器还是能够正常使用cookie。(下面的内容转自:http://www.oschina.net/question/12_72706)

一般的Cookie都是从document对象中获得的,现在浏览器在设置 Cookie的时候一般都接受一个叫做HttpOnly的参数,跟domain等其他参数一样,一旦这个HttpOnly被设置,你在浏览器的 document对象中就看不到Cookie了,而浏览器在浏览的时候不受任何影响,因为Cookie会被放在浏览器头中发送出去(包括ajax的时 候),应用程序也一般不会在js里操作这些敏感Cookie的,对于一些敏感的Cookie我们采用HttpOnly,对于一些需要在应用程序中用js操作的cookie我们就不予设置,这样就保障了Cookie信息的安全也保证了应用。

CSRF 攻击

跨站请求伪造 (Cross-site request forgery )

攻击者盗用了你的身份,以你的名义发送恶意请求。比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等

攻击过程

  1. 用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A;

  2. 在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A;

  3. 用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站B;

  4. 网站B接收到用户请求后,返回一些攻击性代码,并发出一个请求要求访问第三方站点A;

  5. 浏览器在接收到这些攻击性代码后,根据网站B的请求,在用户不知情的情况下携带Cookie信息,向网站A发出请求。网站A并不知道该请求其实是由B发起的,所以会根据用户C的Cookie信息以C的权限处理该请求,导致来自网站B的恶意代码被执行。

防御

验证 HTTP Referer 字段

HTTP协议中, Referer 记录了该 HTTP 请求的来源地址
但 Referer 字段 依然可以伪造

在请求地址中添加 token 并验证

在 HTTP 请求中以参数的形式加入一个随机产生的 token, 并在服务器端验证这个 token

在 HTTP 头中自定义属性并验证

SQL 注入攻击

中间人攻击

参考

Cookie浅析
Document.cookie

xss漏洞攻击与防御
XSS 防御方法总结
CSRF攻击与防御(写得非常好)

不知有熊
关注
专栏目录
常见网络安全威胁及防范
09-10
1. 企业网络安全威胁概览:介绍了企业网络安全威胁的种类和常见攻击手段,包括 DDoS 攻击、网络入侵、数据泄露和中间人攻击等。 2. 通信网络安全需求与方案:介绍了企业通信网络安全的重要性和需求,包括网络安全...
网络攻击检查及防范论文
12-27
综上所述,网络攻击检查及防范策略是保障网络安全的重要手段。对于端口扫描攻击,应通过设置扫描参数和项目,采用高效的扫描工具来检测网络漏洞,并及时修补。对于特洛伊木马攻击,用户应增强自身防范意识,不轻易...
OSI七层网络攻击行为及防范手段
HoewDec的博客
04-11 1039
针对传输层的攻击主要是利用TCP/UDP协议进行攻击,而利用TCP协议攻击主要是利用TCP协议的三次握手机制,向目标主机或者服务器发送大量连接请求但是不对其进行响应,使得占用大量目标服务器主机资源,造成瘫痪的攻击方式,常见攻击方式由Flooding洪泛攻击、ACK flooding洪范攻击等,而利用UDP的攻击主要是利用流量攻击,使用UDP的不可靠性,大量发送数据包,造成目标拒绝服务的目的,常见攻击方式有UDP flooding洪泛攻击。只有这样,才会有一个绿色安全的网络环境。
10种常见的黑客攻击、满足你的黑客梦,零基础入门到精通,收藏这一篇就够了
最新发布
xx16755498986的博客
09-11 1174
1.跨站脚本(XSS)跨站脚本攻击是最为常见的一类网络攻击,它针对的是网站的用户,而不是web应用本身。恶意黑客在有漏洞的网站里注人一段代码,然后网站访容执行这段代码。此类代码可以人侵用户账户,激活木马程序,或者修改网站内容,诱骗用户给出私人信息。​设置web应用防火墙(WAF)可以保护网站不受跨站脚本攻击危害。WAF就像个过滤器,能够识别并阻止对网站的恶意请求。2.注攻击(SQL)注人攻击方法直接针对网站和服务器的数据库。执行时攻击者注人一段能够揭示隐藏数据和用户。
常见网络攻击手段
帅枫的博客
11-27 1569
XSS 攻击 跨站脚本攻击(Cross Site Scripting),就是攻击者在web页面插入恶意的script代码(这个代码可以是JS脚本、CSS样式或者其他意料之外的代码),当用户浏览该页面之时,嵌入其中的script代码会被执行,从而达到恶意攻击用户的目的。比如读取cookie,session,tokens,或者网站其他敏感的网站信息,对用户进行钓鱼欺诈等。 常见的 XSS 攻击有反射型和持久型。 反射型 可以使用 http-only 让恶意脚本获取不到cookie,或者用一些转义字符,比如&l
常见网络攻击手段
ZENITH
04-06 2375
1.OOB攻击 这是利用NETBIOS中一个OOB (Out of Band)的漏洞而来进行的,它的原理是通过TCP/IP协议传递一个数据包到计算机某个开放的端口上(一般是137、138和139),n;PR5=v]y]当计算机收到这个数据包之后就会瞬间死机或者蓝屏现象,不重新启动计算机就无法继续使用TCP/IP协议来访问网络。 2.DoS攻击 这是针对Windows 9X所使用的ICMP协议进行
常见网络攻击手段有哪些?
互联网安全研究院
03-16 1万+
随着互联网的持续发展,企业日益重视网络安全问题,如何防御网络攻击成了每个管理人员的必修课。 知己知彼才能百战不殆。对于网络安全来说,成功防御的一个基本组成部分就是要了解敌人。网络安全管理人员必须了解黑客的工具和技术,才能更好的部署防御堡垒,避免网络攻击造成的影响和损失。 那么,常见网络攻击有哪些?防御策略是什么? 1、SQL注入攻击 SQL注入方法是网络罪犯最常用的注入手法。此类攻击方法直接针对网站和服务器的数据库。执行时,攻击者注入一段能够揭示隐藏数据和用户输入的代码,获得数据修改权限,全面
常见的六种必用攻击手段
w3cschools的博客
04-07 8201
  东方联盟创始人,知名网络安全专家郭盛华曾表示:互联网正在改变人们的生活、休闲与工作,改变人类社会的方方面面,世界已经进入互联网时代,未来黑客安全会成为世界性话题,黑客攻防术也是进军IT行业必掌握的其中技能之一。那么,黑客常见几种技术手段有哪些呢?黑客教父郭盛华作出以下分析: 什么是VPN服务?   虚拟专用网络(或VPN)是您的设备与另一台计算机之间通过互联网的安全连接。VPN服务可用于在...
掌握网络防御:常见攻击手段防范策略
本文主要探讨了六种常见网络攻击方式,这些攻击按照Cisco公司的分类和评价框架进行阐述: 1. **读取攻击**: - 类别:读取攻击/侦查攻击 - 实例:Whois、Nslookup、Finger、Traceroute、Ping、Google等网络实用...
网络攻击常见手段防范措施.ppt
09-18
网络攻击常见手段防范措施.ppt
常见网络攻击手段原理分析.ppt
01-19
常见网络攻击手段原理分析.ppt
网络攻防全解析:常见攻击手段防范策略
"《常见网络攻击防范》一文详细探讨了网络世界中的安全威胁和防护策略。该文章分为两个主要部分:常见网络攻击方法及其防范措施。 首先,作者列举了一系列自1980年代以来发展至今的网络攻击手段,包括早期的...
10大常见网络安全攻击手段及防御方法总结
Button12138的博客
05-19 2513
给小伙伴们的意见是想清楚,自学网络安全没有捷径,相比而言系统的网络安全是最节省成本的方式,因为能够帮你节省大量的时间和精力成本。给自学的小伙伴们的意见是坚持住,既然已经走到这条路上,虽然前途看似困难重重,只要咬牙坚持,最终会收到你想要的效果。
四大网络攻击常见手段及防护
热门推荐
老T的专栏
09-25 1万+
在茫茫的互联网上,随时都在发生着攻击,也许在你看这篇文章时,你的电脑正在被别人扫描,口令正在被别人破译,这一切看似无声的战争让人防不胜防。作为企业终端用户,有必要了解网络攻击者常用的手段,对于本地网络和终端防护来说很有必要。下面就讲解一下网络中黑客常用的攻击方法。   一、DoS攻击   这可不是用DoS操作系统攻击,其全称为Denial of Service——拒绝服务。它通过协议方
常见的十大网络安全攻击
m0_72747613的博客
07-27 1542
网络攻击,它是一种针对我们日常使用的计算机或信息系统的行为,其目的是篡改、破坏我们的数据,甚至直接窃取,或者利用我们的网络进行不法行为。你可能已经注意到,随着我们生活中越来越多的业务进行数字化,网络攻击的事件也在不断增加。网络攻击的种类繁多,是不是让你感到有些困惑?不用担心,接下来我将为你揭晓10大最常见网络攻击类型。这样一来,你就能更深入地理解它们,也能更有效地防备这些网络攻击
网络攻击防范技术
weixin_30347009的博客
06-24 1674
2018-06-24 1.攻击:只指一切针对计算机的非授权行为 2.TCP/IP的几个漏洞:   因为是明文传输 ,很容易被在线窃听,篡改,和伪造   可通过直接修改Ip的地址,来冒充某个可信节点的IP地址进行攻击   无法鉴别用户身份的有效性 3.网络攻击可以怎么分类:   攻击的位置     远程攻击     本地攻击   攻击的层次     窃听     欺骗   ...
常见网络攻击方式及防御方法
学而思(xiejava的blog)
07-04 1317
网络安全威胁的不断演变和增长,网络攻击的种类和数量也在不断增加,攻防对抗实战演练在即,让我们一起了解一下常见网络攻击方式及防御方法。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值