理解xss,csrf,ddos攻击原理以及避免方式

已于 2022-08-06 11:20:55 修改
阅读量677 收藏
点赞数 3
分类专栏: 网络题 文章标签: xss csrf 安全
于 2022-08-06 11:20:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46051260/article/details/126191691
版权

1)XSS(Cross-Site Scripting,跨站脚本攻击)是一种代码注入攻击。攻击者在目标网站上注入恶意代码,当被攻击者登陆网站时就会执行这些恶意代码,这些脚本可以读取 cookie,session tokens,或者其它敏感的网站信息,对用户进行钓鱼欺诈,甚至发起蠕虫攻击等。

2)CSRF(Cross-site request forgery)跨站请求伪造:攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。

XSS避免方式:

  • url参数使用encodeURIComponent方法转义
  • 尽量不是有InnerHtml插入HTML内容
  • 使用特殊符号、标签转义符。

CSRF避免方式:

  • 添加验证码
  • 使用token
    服务端给用户生成一个token,加密后传递给用户
    用户在提交请求时,需要携带这个token
    服务端验证token是否正确

3)DDoS又叫分布式拒绝服务,全称 Distributed Denial of Service,其原理就是利用大量的请求造成资源过载,导致服务不可用。

DDos避免方式:

  • 限制单IP请求频率。
  • 防火墙等防护设置禁止ICMP包等
  • 检查特权端口的开放
weixin_46051260
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XSS基本概念和原理介绍
m0_64005272的博客
01-02 1394
形成XSS漏洞的主要原因是程序对输入和输出的控制不够严格,导致 "精心构造" 的脚本输入后,在输到前端时被浏览器当作有效代码解析执行从而产生危害。● XSS漏洞一直被评估为Web漏洞中危害较大的漏洞,在OWASP TOP的排名中一直属于前三的江湖地位。④提交构造的脚本代码(以及各种绕过姿势),看是否可以成功执行,如果成功执行则说明存在XSS漏洞;交换的数据一般不会被保存在数据库里面,一次性,所见即所得,一般出现在查询类页面等。交换的数据会被保存在数据库里面,永久性存储,一般出现在留言板,注册等页面。
浏览器原理--跨站脚本攻击(XSS)、CSRF攻击
xuan的博客
06-07 2152
(1) XSS 全称是 Cross Site Scripting,为了与“CSS”区分开来,故简称 XSS,翻译过来就是“跨站脚本”。XSS 攻击是指黑客往 HTML 文件中或者 DOM 中注入恶意脚本,从而在用户浏览页面时利用注入的恶意脚本对用户实施攻击的一种手段。(2)恶意脚本都能做哪些事情(3)恶意脚本是怎么注入的1、在一个反射型 XSS 攻击过程中,恶意 JavaScript 脚本属于用户发送给网站请求中的一部分,随后网站又把恶意 JavaScript 脚本返回给用户。当恶意 JavaScript
Web前端安全问题分类综合以及XSSCSRF、SQL注入、DoS/DDoS攻击、会话劫持、点击劫持等详解,增强生产安全意识
最新发布
JINGWHALE
04-22 1429
本文介绍了Web前端安全问题分类综合以及XSSCSRF、SQL注入、DoS/DDoS攻击、会话劫持、点击劫持等详解,增强生产安全意识。Web前端作为与用户直接交互的界面,其安全性问题直接关系到用户体验和数据安全。近年来,随着前端技术的快速发展,Web前端安全问题也日益凸显。因此,加强生产安全意识,深入理解并防范前端安全问题,对于保障整个Web应用的安全性至关重要。
一文搞懂│XSS攻击、SQL注入、CSRF攻击、DDOS攻击、DNS劫持
wangluo12138的博客
02-13 463
一文搞懂│XSS攻击、SQL注入、CSRF攻击、DDOS攻击、DNS劫持
JavaScript安全性:XSSCSRF和CORS等常见的安全漏洞及其解决方案
tyxjolin的专栏
05-08 4110
开发人员应该采取适当的措施来保护他们的应用程序免受这些漏洞的影响,包括过滤和验证用户输入、使用安全的JavaScript库和框架、使用CSRF令牌和配置CORS等。本文将介绍几种常见的JavaScript安全漏洞,包括XSSCSRF和CORS,并提供解决方案以保护您的应用程序免受这些漏洞的影响。例如,一个攻击者可能会发送一个包含修改用户密码的请求,而这个请求看起来是来自用户自己的浏览器,因此网站可能会对请求进行处理并修改用户密码。由于浏览器的同源策略,一般情况下,跨域请求是不允许的。
XSS,CSRF和DDoS
weixin_54218079的博客
07-31 948
还有一个问题是一般不会只有一台网站服务器,如果请求经过负载平衡转移到了其他的服务器,但是这个服务器的session中没有保留这个token的话(Session默认存储在单机服务器内存中,因此在分布式环境下同一个用户发送的多次HTTP请求可能会先后落到不同的服务器上,导致后面发起的HTTP请求无法拿到之前的HTTP请求存储在服务器中的Session数据,从而使得Session机制在分布式环境下失效),就没有办法验证了。在这个攻击过程中,攻击者借助受害者的Cookie骗取服务器的信任,但。...
常见的网络安全攻击和防御方法解析
09-22
包括sql注入、DDos攻击XSSCSRF等的攻击原理和防御方法。
大型网站技术架构 核心原理与案例分析(李智慧)
01-17
6. **安全性**:包括防火墙、入侵检测、DDoS防护、XSSCSRF攻击防御、数据加密等,确保网站的安全稳定运行。 7. **监控与日志管理**:通过日志收集、监控工具,实时了解系统状态,快速定位和解决问题。 8. **持续...
攻击对应的防范技术1
08-08
本文主要讨论了网络环境中常见的攻击类型及其相应的防范技术,包括DoS攻击、DDoS攻击CSRF攻击和XSS攻击,并提供了详细的防御策略。 对于DoS攻击,其基本原理是通过大量无效请求消耗系统资源,导致服务中断。防范...
2022第三届全国大学生网络安全精英赛练习题(4)
派大星子的博客
11-21 1万+
2022第三届全国大学生网络安全精英赛练习题(4)
XSSCSRF/XSRF、CORS介绍
LC的博客
03-24 1243
XSSCSRF/XSRF、CORS介绍1 XSS1.1 名词解释1.2 作用原理1.3 防范措施2 CSRF/XSRF2.1 名词解释2.2 作用原理2.3 防范措施2.3.1 验证码2.3.2 Referer Check2.3.3 添加 token 验证(token==令牌)3 CORS3.1 名词解释 1 XSS 1.1 名词解释 XSS,即:Cross Site Script,中译是跨站脚本攻击;其原本缩写是 CSS,但为了和网站前端技术领域——层叠样式表(Cascading Style Sheet
理解什么是sql注入攻击 + xss攻击 + cors 攻击
L的博客
04-14 3762
SQL注入就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,。SQL注入攻击实例:用户一旦点击登录,如若没有做特殊处理,那么这个非法用户就很得意的登陆进去了。这是为什么呢?分析上述SQL语句我们知道,username=‘ or 1=1 这个语句一定会成功;然后后面加两个 -,这意味着注释,它将后面的语句注释,让他们不起作用。这样,上述语句永远都能正确执行,用户轻易骗过系统,获取合法身份。
xss漏洞之——XSS蠕虫、DDOS攻击
wsnbbz的博客
03-04 2096
介绍 通过构造的 XSS 代码,通过精心构造的 XSS 代码,可以实现非法转账、篡改信息、删除文章、自我复制等诸多功能。 此处以更改密码为例 代码: <img hidden src='http://localhost/DVWA-master/vulnerabilities/csrf/?password_new=123456&password_conf=123456&Chang...
[转]信息安全相关理论题(四)
热门推荐
Herry_Lee的专栏
02-18 3万+
26、____表示邮件服务器返回代码为临时性失败(xx代表任意数)。 A、 2xx B、 3xx C、 4xx D、 5xx 您的答案: 标准答案: C 27、买家称购买商品异常后的正确操作是立即咨询官方客服。 A、 正确 B、 错误 您的答案: 标准答案: A 28、网上陌生人给你发送补丁文件正确的操作是不下载文件。 A、 错误 B、 正确 您的答...
cors跨域_全面刨析cors跨域攻击原理
weixin_39746241的博客
11-28 854
htf的cors跨域之旅 htf一直在维护一个网站,b.com。b.com中存在接口get_userinfo.php可以获取到用户的敏感信息'flag',代码如下。//http://b.com/get_userinfo.php ...
一文搞懂 XSS攻击、SQL注入、CSRF攻击、DDOS攻击、DNS劫持
国内某知名游戏公司小菜鸡工程师
08-08 5303
学好网络安全,以己之矛护己之盾
防范 XSS攻击、CSRF、SQL注入、DDOS攻击
ylnzzl的博客
07-22 1482
XSS 受攻击分析 跨站脚本攻击叫做XSS攻击,是指恶意攻击者利用网站没有对用户提交的数据进行内容检测、转义、过滤等安全处理,将一些恶意代码嵌入到网站的web页面文件里,使访问了嵌有恶意代码的web页面的人受到恶意危害。 因为XSS攻击导致的受害者受到的恶意危害形式有: .用户资料被盗取。用户资料可能包含重要而又敏感的信息,例如登录账号、网银账号等。 .用户身份被冒用,被恶意攻击者用来读取、添加、篡改、删除网站服务器里的重要又敏感的数据文件。 .用户的资金账户被完成恶意转账操作,导致用户资金损失
网络攻击(SQL攻击、XSSCSRF、DDos)
哈尼熊熊的博客
03-14 4096
1)   SQL注入攻击(SQLInjection)攻击方法: 攻击者在HTTP请求中注入恶意SQL命令,服务器用请求参数构造数据库SQL命令时,恶意SQL被一起构造,并在数据库中执行。防范方法: 1.      检查变量数据类型和格式,过滤特殊语句和防XSS攻击一样,请求参数消毒是一种比较简单粗暴又有效的手段。通过正则匹配,过滤请求数据中可能注入的SQL,如:drop table 等。2.   ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值