Web安全常见的攻击方式与防范技巧

最新推荐文章于 2024-06-24 17:30:00 发布
最新推荐文章于 2024-06-24 17:30:00 发布
阅读量511 收藏 1
点赞数
分类专栏: 技术沉淀
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xuyong916/article/details/97612385
版权

一个网站搭建起来,如果不注意安全方面的问题,很容易被人找到漏洞进行攻击,导致数据库用户信息被窃取、甚至造成服务瘫痪。因此,安全问题实在不可小觑。下面我们看一下常见的Web安全问题和防止攻击的方法。

 

Xss - 跨站脚本攻击

跨站脚本攻击(Cross Site Scripting)是指攻击者利用网站程序对用户输入过滤不足,输入可以显示在页面上对其他用户造成影响的HTML代码,从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。为了与层叠样式表(Cascading Style Sheets)的缩写CSS区分开,跨站脚本攻击通常简写为XSS。

XSS跨站脚本攻击一直都被认为是客户端Web安全中最主流的攻击方式。因为Web环境的复杂性以及XSS跨站脚本攻击的多变性,使得该类型攻击很难彻底解决。那么这种攻击方式具体的攻击方法是什么? 又该如何防止? 下面我们拿PHP(全世界最好的语言)来做一个简单的演示:

下面这个页面(http://localhost/test.php?username=张三)的主要作用是获取用户输入的参数作为用户名,并在页面中显示“欢迎您,XXX”的形式,具体代码如下:

$username = $_GET['username'];echo "欢迎您, {$username}!";

那么当你输入“张三”的时候页面显示:欢迎您,张三!  但是,如果有人恶意输入 :<script>alert(222);</script> 此时script标签中的语句就会被浏览器执行,以达到攻击人的目的。这个例子正是最简单的一种XSS跨站脚本攻击的形式,称之为反射型XSS。

 

防御方法

永远不相信用户的输入。需要对用户的输入进行处理,只允许输入合法的值,其它值一概过滤掉。

 

SQL注入攻击

所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。 比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击。 

举个栗子,认证网页中会有型如:

select * from admin where username='XXX' and password='YYY' 的语句,若在正式运行此句之前,没有进行必要的字符过滤,则很容易实施SQL注入。

如在用户名文本框内输入:abc’ or 1=1-- 在密码框内输入:123 则SQL语句变成:select * from admin where username='abc’ or 1=1 and password='123’ 不管用户输入任何用户名与密码,此语句永远都能正确执行,用户轻易骗过系统,获取合法身份。

如何进行SQL注入攻击的防御,方法只有一个,就是不要相信用户任何输入的任何字符,对用户的输入一定要经过严格的过滤。本质上所有的数据库编程接口都支持预编译。技术上来说,SQL声明语句是用问号给每个参数占位创建的 – 然后在内部表中进行编译。

 

CSRF(Cross-site request forgery)跨站请求伪造

跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。

跨站请求伪造。其原理是攻击者构造网站后台某个功能接口的请求地址,诱导用户去点击或者用特殊方法让该请求地址自动加载。用户在登录状态下这个请求被服务端接收后会被误以为是用户合法的操作。对于 GET 形式的接口地址可轻易被攻击,对于 POST 形式的接口地址也不是百分百安全,攻击者可诱导用户进入带 Form 表单可用POST方式提交参数的页面。

防御方法:

服务端在收到路由请求时,生成一个随机数,在渲染请求页面时把随机数埋入页面(一般

埋入 form 表单内,<input type="hidden" name="_csrf_token" value="xxxx">)服务端设置setCookie,把该随机数作为cookie或者session种入用户浏览器,当用户发送 GET 或者 POST 请求时带上_csrf_token参数(对于 Form 表单直接提交即可,因为会自动把当前表单内所有的 input 提交给后台,包括_csrf_token)后台在接受到请求后解析请求的cookie获取_csrf_token的值,然后和用户请求提交的_csrf_token做个比较,如果相等表示请求是合法的。

如果有兴趣,欢迎留言一起探讨其他的攻击或者防御case。

欢迎扫码,关注我的微信公众号

alonegrowing
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Web常见攻击防范汇总
weixin_44568633的博客
03-29 444
文章目录Web常见攻击防范汇总一、SQL注入攻击防范1.什么是SQL注入?2.SQL注入原理剖析3.如何防范SQL注入?二、XSS攻击防范1.什么是XSS攻击?2.XSS攻击原理剖析3.如何防范XSS攻击?三、CSRF攻击防范(*敲重点)1.什么是CSRF攻击?2.csrf攻击原理剖析3.如何防范CSRF攻击? Web常见攻击防范汇总 伴随着Web2.0、社交网络、微博等一系列新型互联网...
几种常见Web安全攻击方式 CSRF 、XSS 、SQL注入
Jackie Huang
02-21 949
ps: 如果有任何问题可以评论留言,我看到后会及时解答,评论或关注,您的鼓励是我分享的最大动力       转载请注明出处:https://blog.csdn.net/qq_40938301/article/details/87868755 CSRF攻击 概念: CSRF(Cross Site Request Forgery),跨站请求伪造。 CSRF攻击者在用户已经登录目标网站之后,诱...
Web安全_常见攻击方式
qzo_smile的博客
10-15 686
Web安全_常见攻击方式 常见攻击方式 一、跨站脚本攻击XSS XSS产生的原因:过于信任客户端提交的数据 恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 XSS的分类: 1、反射型 把用户的输入“反射”到浏览器上,通常攻击者需要诱使用户点击一个恶意链接,才能攻击成功。 2、存储型 把用户输入的数...
10大常见网络安全攻击手段及防御方法总结_请论述常见的网络安全攻击技术和常见的网络安全防护手段,并回答如何保护个人
最新发布
Z4400840的博客
06-24 1125
10大常见网络安全攻击手段及防御方法总结,1、XSS跨站脚本攻击 相关研究表明,跨站脚本攻击大约占据了所有攻击的40%,是最为常见的一类网络攻击。但尽管最为常见,大部分跨站脚本攻击却不是特别高端,多为业余网络罪犯使用别人编写的脚本发起的。
Web安全(攻击及预防)
weixin_30376509的博客
06-20 137
1. XSS攻击 2.CSRF攻击 3.脚本攻击 4.SQL注入 转载于:https://www.cnblogs.com/ruhuanxingyun/p/11058072.html
web应用常见安全攻击手段
Finit的成长空间
07-16 1257
SQL注入
WEB常见漏洞与挖掘技巧研究.pptx
06-10
WEB 常见漏洞与挖掘技巧研究 本篇文章旨在总结 WEB 常见漏洞和挖掘技巧,帮助读者了解 WEB 安全领域中的常见漏洞和防护方法。 一、 SQL 注入 SQL 注入是 WEB 安全中最常见的漏洞之一,通常是由于 SQL 语句的拼接...
Web安全防范常见攻击手法
本章将从什么是Web安全Web安全的重要性以及常见Web安全威胁等方面展开讨论。接下来让我们一起深入了解。 ## 1.1 什么是Web安全 Web安全是指保护Web应用程序、Web服务器及其数据的安全性。它涵盖了各种安全措施,...
IIS 服务器 防范攻击3条安全设置技巧
01-20
没关系,通过我们介绍的IIS服务器安全设置的三个方法,就能很好地防范攻击。 基本设置 打好补丁删除共享 个人站长通常使用Windows服务器,但是我们通过租用或托管的服务器往往不会有专门的技术人员来进行安全设置,...
PHP安全防范技巧分享
10-28
在构建PHP应用程序时,安全是不可忽视的重要环节。本文将探讨一些PHP安全防范的基本要点,以帮助开发者确保其代码和用户数据的安全。...通过遵循这些技巧,可以大大降低应用程序遭受攻击的风险,保护用户数据的安全
WEB常见漏洞与挖掘技巧研究.rar
09-07
"WEB常见漏洞与挖掘技巧研究"这个主题涵盖了Web应用程序中可能遇到的各种安全问题以及如何发现和解决这些问题的策略。以下是一些主要的知识点: 1. SQL注入:这是最常见Web漏洞之一,允许攻击者通过在输入字段中...
web常见攻击方式有哪些?如何防御?(详细讲解)
贫僧法号依平
04-04 1407
DOM 型 XSS 跟前两种 XSS 的区别:DOM 型 XSS 攻击中,取出和执行恶意代码由浏览器端完成,属于前端 JavaScript 自身的安全漏洞,而其他两种 XSS 都属于服务端的安全漏洞。针对第一个要素,我们在用户输入的过程中,过滤掉用户输入的恶劣代码,然后提交给后端,但是如果攻击者绕开前端请求,直接构造请求就不能预防了。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目。访问该页面后,表单会自动提交,相当于模拟用户完成了一次POST操作。
6种Web安全常见的攻防姿势
2201_75857869的博客
03-09 1046
XSS攻击的本质就是,利用一切手段在目标用户的浏览器中执行攻击脚本。
web应用常见攻击方式及解决办法
努力学习的狐狸的博客
06-13 1001
例如,攻击者可以在一个钓鱼网站中放置恶意链接,当用户点击该链接时,会跳转到 Web 应用程序中的某个页面,并自动执行恶意请求,而用户并不知情。包含本地文件:攻击者利用应用程序中的文件包含函数(如 PHP 的 include()、require() 函数等),来加载本地文件,例如配置文件、日志文件等,然后将恶意代码注入到这些文件中。包含远程文件:攻击者利用应用程序中的文件包含函数,来加载远程文件,例如攻击者自己搭建的 Web 服务器上的文件,然后将恶意代码注入到这些文件中。
是个前端都应该了解的web安全知识(附一些较新的防范方法)
qq_40819935的博客
07-02 658
前言 对于很多刚开始工作的前端而言,web安全似乎是一个说不清道不明的东西。关于web安全,认真学习总结一下,其实就会发现它不难。本文通过面试提问的形式来一一进行总结,希望对于各位小伙伴理解web安全有所帮助。 1.前端有哪些攻击方式? 目前常见web攻击方式主要分为:XSS攻击、CSRF攻击、点击劫持。 2.什么是XSS攻击?XSS攻击有哪几种类型?如何防范XSS攻击? 2.1 什么是XSS攻击? XSS(Cross-Site Scripting,跨站脚本攻击)是一种代码注入攻击攻击者..
Web常见攻击方式?如何防御?
Harley567
08-08 163
Web攻击以及防御方式
常见web攻击有哪些?如何防御?
weixin_46886227的博客
04-03 7354
web攻击是什么 Web攻击(WebAttack)是针对用户上网行为或网站服务器等设备进行攻击的行为,如植入恶意代码、修改网站权限、获取网站用户隐私信息等 Web应用程序的安全性是任何基于Web业务的重要组成部分 确保Web应用程序的安全十分重要,即使是代码中很小的bug也有可能导致隐私信息被泄露,站点安全就是为了保护站点不受未授权的访问、使用、修改和破坏而采取的行为或实践 常见Web攻击有: XSS (Cross Site Scripting) 跨站脚本攻击 CSRF(Cross-site
< 今日份知识点:web常见攻击方式(网络攻击)有哪些?如何预防?如何防御呢 ? >
一个平平无奇的技术宅
05-17 2436
近年来,网络攻击事件频发,互联网上的木马、蠕虫、勒索病毒软件层出不穷,这对网络安全乃至国家安全形成了严重的威胁。2017年`维基解密`公布了美国中情局和美国国家安全局的新型网络攻击工具,其中包括了大量的远程攻击工具、漏洞、网络攻击平台以及相关攻击说明的文档。同时从部分博客、论坛和开源网站,普通的用户就可以轻松的获得不同种类的网络攻击工具。互联网的公开性,让网络攻击者的攻击成本大大降低。 在互联网发达 且 互联网法律制裁并不完善的今天,面对来自网络上五花八门的攻击,我们该如何预防 ? 又该如何防御呢? 接下
Web常见攻击方式
A_991128a的博客
01-14 737
在上段代码中,我们可以看到攻击者在它的页面上构建了一个隐藏的表单,该表单内容就是一个某网站的转账接口,当用户打开该站点之后,这个表单就会被自动执行提交;攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击的网站发送跨站请求。4.当小明看到广告,点开链接,这时,恶意代码就存在在了小明的浏览器上,由于小明的淘宝处于登录状态,所以恶意代码可以获取小明的Cookie,故也能。诱骗用户点击URL带攻击代码的链接,服务器解析后响应,在返回的响应内容中隐藏和嵌入攻击者的XSS代码,被浏览器执行,从而攻击用户。
Web安全探索:SQL注入攻击与数据库技巧
"数据库攻击技巧Web安全的相关知识" 在网络安全领域,特别是Web安全中,数据库攻击技巧是一个关键的话题。SQL注入是一种常见攻击方式,它利用应用程序对用户输入处理的不当,将恶意的SQL代码插入到数据库查询中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值