Web安全与防御措施

最新推荐文章于 2024-05-27 16:16:13 发布
最新推荐文章于 2024-05-27 16:16:13 发布
阅读量3.6k 收藏 1
点赞数
分类专栏: 安全 文章标签: 安全 web安全
  • 服务攻击:针对程序漏洞进行攻击常见的有:
    • SQL注入攻击
    • 文件上传攻击
    • XSS跨站脚本攻击
    • CSRF(Cross-site request forgery)跨站请求伪造
    • 程序逻辑漏洞
  • 暴力攻击:如DDOS,穷举密码等
  • C段攻击 某台服务器被攻陷后通过内网进行ARP、DNS等内网攻击
  • 社会工程学 收集管理员等个人信息等资料尝试猜测其密码或者取得信任等

最基本原则

永远不要相信用户提交上来的数据(包括header\cookie\seesionId),都可能造假

sql注入

原理:

后台的SQL语句通过字符串拼接后后导致执行各种意想不到的语句,配合sql语句的outfile功能,还能写入一个脚本文件到服务器。

例子:
  • 比如根据用户post来的ID来列出单个人的信息 假设用户提交的id=1拼接出来为select * from table where id=1 这时执行正常假设用户提交的为id=1 and 1=1拼接出来为select * from table where and 1=1 这时执行异常,所以内容都被查出来了
  • 又如根据用户提交的job_rul=xxx来拼接,但是攻击者提交了job_rul=sql' or 1=1 limit 1-- 
    //正常的语句
select * from job_info where job_url='sql' limt 10
//攻击者提交的 “sql' or 1=1 limit 1-- ”后 变成下面这样 注意--后面有空格
select * from job_info where job_url='sql' or 1=1 limit 1-- '  limt 10
//上面语句后面 -- 和后面的内容 都表示注释
//故只会执行 select * from job_info where job_url='sql' or 1=1
//所有信息都被查出来了
    预防:
  • 在SQL拼接时注意过滤替换用户输入的字符串(但是本人不推荐这种方式)
  • 最安全的是mysql的预编译prepare,PHP的PDO将其实现了。因为语句先编译好了,用户怎么传都是一个参数。

文件上传攻击

没有过滤就接收用户上传的文件(如.php等文件)或者没有给文件重命名,最后通过攻击者通过web请求导致恶意脚本调用被执行

常见漏洞
  • CGI漏洞 IIS7.5以下,nginx < 0.8.x通过123.jpg/1.php可以把 jpg当php执行,原理是其解析向前归递造成的,有人问jpg文件怎么当脚本运行,其实是图片里可以插入程序代码的,具体实现就不透露了
  • apache,IIS解析漏洞123.php.jpg apache当成php来运行(IIS6,实测apache2.2.xx有这个问题,2.4.xx已经修复)

攻击原理:攻击者上传带有恶意脚本的123.jpg到网站,获得了http://url.com/123.jpg这个文件路径,然后通过http://url.com/123.jpg/1.php触发123.jpg所带的程序代码

预防:
  • 用户上传的文件要重命名,这样的话即便攻击者上传了.php,.sh等脚本上来也会被重命名成指定的文件类型(如jpg)导致无法被攻击者执行
  • 确保使用的apache nginx等版本到最稳定的安全版本。

XSS攻击

原理:

反射型: 比如根据$_GET['username']显示到网页上 有可能被人username=<script src='xxx'></script>注入代码发给用户点击从而被攻击.也有可能JS读取了URL部分字段导致的储存型:通过发表文章等把代码存入数据库别人看的时候没过滤就执行出来。危害:盗取管理员密码 cookie 控制用户ajax等。预防:入库过滤和显示时过滤(htmlspeicalchar命令等)

csrf攻击

原理:

被攻击网站:用户登录后因为session缘故,浏览器关闭前所有请求都是合法的(不用再精彩账号密码认证了)当用户登录了网站A,这时候访问黑客的网站BB站的js代码控制用户去调用网站A的一个脚本:

  • GET方式 如<img src="http://A.com/deletePost.php"> 这样就相当于以用户的身份去触发了对A站http://A.com/deletePost.php脚本的操作
  • POST 这种方式要复杂一点,但是还是可以被攻击者利用(构造一个隐藏的html表单,通过js去提交到站点A)以用户的名义去触发操作,比如删除修改密码等,配合XSS攻击效果更明显。
预防:

采用验证码,token,敏感操作避免GET(因为可以src等方式触发)

逻辑漏洞

比如删除(或修改)用户信息通过GET或POST id=2这样去修改信息支付漏洞:用户提交上来的商品数量为负数-10导致总价变化


转自:http://www.51glacier.com/blog/web-safe.html 

xiaoxiao3112
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
企业级Web服务器安全主动防御措施
01-20
笔者认为,这很大一部分原因是管理员在Web安全防护上太被动。他们只是被动的防御。为了彻底提高Web服务器的安全,笔者认为,Web安全要主动出击。具体的来说,需要做到如下几点。  一、在代码编写时要进行漏洞测试...
常见Web安全问题及防御策略,想转行当程序员的必看
2401_83621384的博客
04-14 473
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!
web安全的攻击与防范
zhu2003cong01的博客
05-29 608
未来,Web安全将面临更多的挑战,包括人工智能和物联网等新技术的兴起。当前,Web安全威胁的变化和复杂性加剧了Web应用程序的风险,针对这些风险,开发人员和运维人员需要时刻关注Web应用程序的安全性,并采取相应的防范措施,以确保Web应用程序在安全的环境中运行。SQL注入攻击之所以能够成功,是因为Web应用程序没有对用户的输入进行充分的过滤和验证,攻击者通过在应用程序的输入字段中输入恶意SQL代码,向数据库发送一些不当的SQL查询语句,从而能够突破数据库的安全措施,获取大量敏感信息或者控制系统的操作权。
构建坚不可摧的Web安全防线:深入剖析二阶注入与全面防御策略
最新发布
weixin_43822401的博客
05-27 933
SQL注入攻击通过在用户输入中嵌入恶意SQL代码,企图让数据库执行这些非法命令,从而达到窃取、破坏或篡改数据的目的。
Web安全防御
qq_44005305的博客
06-02 74
是网站应用程序的安全泄露攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。
Web安全:常见的安全问题及防范措施
shandongjiushen的博客
12-09 2145
警惕安全问题,防止信息裸奔!
浅析常见WEB安全漏洞及其防御措施
ytt0523_com的博客
04-01 1001
在网络攻防中,Web系统通常是攻击者的首选目标,攻击者大都通过Web打点的方式,先拿到边界Web服务器的权限,再以此为跳板实施内网横向渗透。由于Web系统通常涉及大量的用户数据和敏感信息,一旦受到攻击或破坏,可能造成数据泄露、服务中断等影响。相较于攻击方,Web系统也是防守方的重点防护对象。作为安全开发或安全运营人员,及早发现和修复潜在的WEB安全漏洞,不仅有助于提高互联网业务系统的稳定性,也能降低后期安全运营工作的压力和成本。整体而言,一切输入都是有害的,输出也不安全
WEB安全评估与防护.pdf
03-16
Web安全评估与防护是针对基于浏览器/服务器架构的Web应用进行的安全审查,旨在发现并解决潜在的安全问题。...通过综合的Web安全评估和防护措施,可以显著降低Web环境中的风险,保护用户和企业的数据安全
前端性能优化与Web安全
08-26
在现代Web开发中,前端性能优化与Web安全是两个至关重要的主题。性能优化关乎用户体验,而Web安全则关乎用户的数据安全。以下将详细介绍这两个领域的关键知识点。 **性能优化** 1. **UI篇**: - 图像处理:根据...
CSRF攻击与防御Web安全的第一防线
01-27
CSRF(跨站请求伪造)攻击是Web安全领域的一个重要话题,它允许攻击者通过诱使用户在不知情的情况下执行非预期的操作来滥用用户在某个网站上的权限。这种攻击方式通常涉及两个网站:一个受信任的网站(Web A)和一个...
Web安全之XSS攻击与防御小结
10-17
Web安全中的XSS攻击是一种常见的网络攻击方式,全称为跨站脚本攻击。攻击者通过在Web页面中插入恶意的JavaScript代码,当受害者访问这些被污染的页面时,恶意脚本将被执行,从而可能导致敏感信息泄露、账户劫持等...
十二个常见的Web安全漏洞总结及防范措施
m0_59598029的博客
11-24 852
本篇文章部分摘要自《OWASP Top 10 2017》。OWASP,开放式Web应用程序安全项目(Open Web Application Security Project)是一个组织,它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。其目的是协助个人、企业和机构来发现和使用可信赖软件。
常见Web安全问题及防御策略
04-12 376
例如,当用户登录网络银行去查看其存款余额,在他没有退出时,就点击了一个 QQ 好友发来的链接,那么该用户银行帐户中的资金就有可能被转移到攻击者指定的帐户中。在ASLR的控制下,一个程序每次启动时,其进程的栈基址都不相同,具有一定的随机性,对于攻击者来说,这就是“不可预测性”。正如开篇所说的:“互联网本来是安全的,自从有了研究安全的人,互联网就不安全了。实际上,缓冲区溢出,也可以认为是程序违背了这一原则的后果——程序在栈或者堆中,将用户数据当做代码执行,混淆了代码与数据的边界,从而导致安全问题的发生。
6种Web安全常见的攻防姿势
2201_75857869的博客
03-09 1029
XSS攻击的本质就是,利用一切手段在目标用户的浏览器中执行攻击脚本。
Web安全措施
天空之城
11-11 4271
一、理解验证机制            Web应用的安全措施主要包含下面4个方面:         1、身份验证            对安全性的第一个基本要求是验证用户。验证是识别一个人或一个系统以及检验其资格的过程。在Internet领域,验证一个用户的基本方法是用户名和口令。         2、授权            一旦用户通过验证,还必须给它授权,授权是确定用户是否被允
Injection Attacks-XML注入
weixin_34092455的博客
03-11 245
注入攻击 XML注入 虽然JSON的出现实现了服务器与客户端之间的“轻量级”数据交流,但是,作为另一种流行的可行方案,许多web服务API同时还是继续支持XML。另外,除了web服务之外,XML也是许多使用XML schemas 实行数据交换的协议的基础,例如RSS,Atom,SOAP,以及RDF等等,举不胜举。 XML无处不在:它存在于...
TinyMind人民币编码识别赛后经验分享
07-15
人民币作为我国法定货币,在我们日常生活中的重要性不言而喻,每张人民币纸币都有一串唯一的字符号码,是人民币的重要标识。针对人民币纸币面额及编码识别技术的深入研究,TinyMind发起挑战赛,要求参赛者根据训练集图片训练模型,使得该模型能自动根据输入的任意人民币图片识别对应人民币的编码。目前该比赛已圆满结束。进入自由练习阶段。
常见web安全防护原理
AriesTina的博客
10-30 1669
常见web安全防护原理,含攻击实战和解决方案实战
Web一些主要的安全防护措施
DavidLiu的博客
05-05 5765
OWASP (安全防护、漏洞验证工具) 开放式Web应用程序安全项目(OWASP,Open Web Application Security Project)是一个组织,它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。其目的是协助个人、企业和机构来发现和使用可信赖软件。 开放式Web应用程序安全项目(OWASP)是一个非营利组织,不附属于任何企业或财团。因此,...
web安全防御措施有哪些
06-02
Web安全防御措施可以分为以下几个方面: 1. 输入验证:对用户输入的数据进行过滤和验证,防止恶意输入造成攻击。 2. 防止注入攻击:比如SQL注入、XSS攻击等,可以通过对用户输入的数据进行过滤和转义,或者使用参数化查询等方式来防止注入攻击。 3. 错误处理和日志记录:及时记录异常和错误,以便于快速发现和处理问题。 4. 访问控制:对用户进行身份验证和授权,控制用户对系统资源的访问权限。 5. 加密传输:使用SSL/TLS等加密技术,保证数据在传输过程中不被窃听和篡改。 6. 强化密码策略:要求用户使用强密码,并定期更换密码,防止密码被猜测或者泄露。 7. 安全更新和补丁:及时更新系统和应用程序的安全补丁,以保证系统的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值