作为前端,你有必要了解这些网站攻击技术

最新推荐文章于 2024-07-14 18:10:31 发布
最新推荐文章于 2024-07-14 18:10:31 发布
阅读量333 收藏 4
点赞数 3
分类专栏: 程序员 文章标签: 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/z1667002/article/details/137131979
版权

以上只是一个极简单的示例,在真实的SQL注入攻击中参数构造和SQL语句远比这复杂得多,不过原理是一致的。

a23a9ababddad55431e15bcf4c0e7cc0.png

2、XSS 攻击

XSS全称跨站脚本攻击(Cross Site Scripting),为了与重叠样式表CSS区分,换了另一个缩写XSS。

998d2da4c8a58486e4da0a1c14256eaf.png

XSS攻击的核心是将可执行的前端脚本代码(一般为JavaScript)植入到网页中,听起来比较拗口,用大白话说就是攻击者想让你的浏览器执行他写的JS代码。那如何办到呢?一般XSS分为两种:

反射型

e6fc7b5d2d02e2cfae782ba43acea1b4.png

  • 1、攻击者将JS代码作为请求参数放置URL中,诱导用户点击

示例:

http://localhost:8080/test?name=

  • 2、用户点击后,该JS作为请求参数传给Web服务器后端

  • 3、后端服务器没有检查过滤,简单处理后放入网页正文中返回给浏览器

  • 4、浏览器解析返回的网页,中招!

存储型

0eb9a281912c7af45c89ce5fcab2df63.png

上述方式攻击脚本直接经服务器转手后返回浏览器触发执行,存储型与之的区别在于能够将攻击脚本入库存储,在后面进行查询时,再将攻击脚本渲染进网页,返回给浏览器触发执行。常见的套路举例如下:

  • 1、攻击者网页回帖,帖子中包含JS脚本

  • 2、回帖提交服务器后,存储至数据库

  • 3、其他网友查看帖子,后台查询该帖子的回帖内容,构建完整网页,返回浏览器

  • 4、该网友浏览器渲染返回的网页,中招!

3、CSRF 攻击

51f5dca7865e2c32bee9a7cd0481892a.png

CSRF,跨站请求伪造,其核心思想在于,在打开A网站的情况下,另开Tab页面打开恶意网站B,此时在B页面的“唆使”下,浏览器发起一个对网站A的HTTP请求。这个过程的危害在于2点:

  • 1、这个HTTP请求不是用户主动意图,而是B“唆使的”,如果是一个危害较大的请求操作(发邮件?删数据?等等)那就麻烦了

  • 2、因为之前A网站已经打开了,浏览器存有A下发的Cookie或其他用于身份认证的信息,这一次被“唆使”的请求,将会自动带上这些信息,A网站后端分不清楚这是否是用户真实的意愿

4、DDoS 攻击

DDoS全称Distributed Denial of Service:分布式拒绝服务攻击(在这个文章里也有介绍:)。是拒绝服务攻击的升级版。拒绝攻击服务顾名思义,让服务不可用。常用于攻击对外提供服务的服务器,像常见的:

  • Web服务

  • 邮件服务

  • DNS服务

  • 即时通讯服务

6ed0de2a31427828a13356ac731de221.png

攻击者不断地提出服务请求,让合法用户的请求无法及时处理,这就是 DoS 攻击。

攻击者使用多台计算机或者计算机集群进行 DoS 攻击,就是 DDoS 攻击。

在早期互联网技术还没有那么发达的时候,发起DoS攻击是一件很容易的事情:一台性能强劲的计算机,写个程序多线程不断向服务器进行请求,服务器应接不暇,最终无法处理正常的请求,对别的正常用户来说,看上去网站貌似无法访问,拒绝服务就是这么个意思。

后来随着技术对发展,现在的服务器早已不是一台服务器那么简单,你访问一个www.baidu.com的域名,背后是数不清的CDN节点,数不清的Web服务器。

这种情况下,还想靠单台计算机去试图让一个网络服务满载,无异于鸡蛋碰石头,对方没趴下,自己先趴下了。

技术从来都是一柄双刃剑,分布式技术既可以用来提供高可用的服务,也能够被攻击方用来进行大规模杀伤性攻击。攻击者不再局限于单台计算机的攻击能力,转而通过成规模的网络集群发起拒绝服务攻击。

5、DNS劫持

当今互联网流量中,以HTTP/HTTPS为主的Web服务产生的流量占据了绝大部分。Web服务发展的如火如荼,这背后离不开一个默默无闻的大功臣就是域名解析系统:

b9071b8919f62669368f21f57db5c12d.png

如果没有DNS,我们上网需要记忆每个网站的IP地址而不是他们的域名,这简直是灾难,好在DNS默默在背后做了这一切,我们只需要记住一个域名,剩下的交给DNS来完成吧。

也正是因为其重要性,别有用心的人自然是不会放过它,DNS劫持技术被发明了出来。

DNS提供服务用来将域名转换成IP地址,然而在早期协议的设计中并没有太多考虑其安全性,对于查询方来说:

  • 我去请求的真的是一个DNS服务器吗?是不是别人冒充的?

  • 查询的结果有没有被人篡改过?这个IP真是这个网站的吗?

3f03f7e95fa544d07fa62716430a662b.png

DNS协议中没有机制去保证能回答这些问题,因此DNS劫持现象非常泛滥,从用户在地址栏输入一个域名的那一刻起,一路上的凶险防不胜防:

  • 本地计算机中的木马修改hosts文件

  • 本地计算机中的木马修改DNS数据包中的应答

  • 网络中的节点(如路由器)修改DNS数据包中的应答

  • 网络中的节点(如运营商)修改DNS数据包中的应答

24f8d992df733b41fac0c3f4e4b401e4.png

后来,为了在客户端对收到对DNS应答进行校验,出现了DNSSEC技术,一定程度上可以解决上面的部分问题。但限于一些方面的原因,这项技术并没有大规模用起来,尤其在国内,鲜有部署应用。

再后来,以阿里、腾讯等头部互联网厂商开始推出了httpDNS服务,来了一招釜底抽薪,虽然这项技术的名字中还有DNS三个字母,但实现上和原来但DNS已经是天差地别,通过这项技术让DNS变成了在http协议之上的一个应用服务。

6、JSON 劫持

JSON是一种轻量级的数据交换格式,而劫持就是对数据进行窃取(或者应该称为打劫、拦截比较合适。恶意攻击者通过某些特定的手段,将本应该返回给用户的JSON数据进行拦截,转而将数据发送回给恶意攻击者,这就是JSON劫持的大概含义。一般来说进行劫持的JSON数据都是包含敏感信息或者有价值的数据。

7、暴力破解

这个一般针对密码而言,弱密码(Weak Password)很容易被别人(对你很了解的人等)猜到或被破解工具暴力破解。

解决方案 密码复杂度要足够大,也要足够隐蔽 限制尝试次数

8.、HTTP 报头追踪漏洞

HTTP/1.1(RFC2616)规范定义了 HTTP TRACE 方法,主要是用于客户端通过向 Web 服务器提交 TRACE 请求来进行测试或获得诊断信息。

当 Web 服务器启用 TRACE 时,提交的请求头会在服务器响应的内容(Body)中完整的返回,其中 HTTP 头很可能包括 Session Token、Cookies 或其它认证信息。攻击者可以利用此漏洞来欺骗合法用户并得到他们的私人信息。

解决方案:

禁用 HTTP TRACE 方法。

9、信息泄露

由于 Web 服务器或应用程序没有正确处理一些特殊请求,泄露 Web 服务器的一些敏感信息,如用户名、密码、源代码、服务器信息、配置信息等。

所以一般需注意:

应用程序报错时,不对外产生调试信息 过滤用户提交的数据与特殊字符 保证源代码、服务器配置的安全

10、目录遍历漏洞

攻击者向 Web 服务器发送请求,通过在 URL 中或在有特殊意义的目录中附加 …/、或者附加 …/ 的一些变形(如 … 或 …// 甚至其编码),导致攻击者能够访问未授权的目录,以及在 Web 服务器的根目录以外执行命令。

11、命令执行漏洞

命令执行漏洞是通过 URL 发起请求,在 Web 服务器端执行未授权的命令,获取系统信息、篡改系统配置、控制整个系统、使系统瘫痪等。

12、文件上传漏洞

如果对文件上传路径变量过滤不严,并且对用户上传的文件后缀以及文件类型限制不严,攻击者可通过 Web 访问的目录上传任意文件,包括网站后门文件(webshell),进而远程控制网站服务器。

所以一般需注意:

在开发网站及应用程序过程中,需严格限制和校验上传的文件,禁止上传恶意代码的文件 限制相关目录的执行权限,防范 webshell 攻击

13、其他漏洞

  • SSLStrip 攻击

自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数前端工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则几千的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年Web前端开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。

img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上前端开发知识点,真正体系化!

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!

如果你觉得这些内容对你有帮助,可以扫码获取!!(资料价值较高,非无偿)

完整版面试题资料分享,只需你点赞支持,动动手指点击此处就可免费领取了

前端实习面试的套路

回顾项目

往往在面试时,面试官根据你简历中的项目由点及面地展开问答,所以请对你做过的最好的项目进行回顾和反思。回顾你做过的工作和项目中最复杂的部分,反思你是如何完成这个最复杂的部分的。

面试官会重点问你最复杂的部分的实现方法和如何优化。重点要思考如何优化,即使你项目中没有对那部分进行优化,你也应该预先思考有什么优化的方案。如果这部分答好了,会给面试官留下很不错的印象。

重点在于基础知识

这里指的基础知识包括:前端基础知识和学科基础知识。

前端基础知识:html/css/js 的核心知识,其中 js 的核心知识尤为重要。比如执行上下文、变量对象/活动对象(VO/AO)、作用域链、this 指向、原型链等。

学科基础知识:数据结构、计算机网络、算法等知识。你可能会想前端不需要算法,那你可能就错了,在大公司面试,面试官同样会看重学生这些学科基础知识。
你可能发现了我没有提到React/Vue这些框架的知识,这里得说一说,大公司不会过度的关注这方面框架的知识,他们往往更加考察学生的基础。
这里我的建议是,如果你至少使用或掌握其中一门框架,那是最好的,可以去刷刷相关框架的面试题,这样在面试过程中即使被问到了,也可以回答个 7788。如果你没有使用过框架,那也不需要太担心,把重点放在基础知识和学科基础知识之上,有其余精力的话可以去看看主流框架的核心思想。

重点在于基础知识

这里指的基础知识包括:前端基础知识和学科基础知识。

前端基础知识:html/css/js 的核心知识,其中 js 的核心知识尤为重要。比如执行上下文、变量对象/活动对象(VO/AO)、作用域链、this 指向、原型链等。

学科基础知识:数据结构、计算机网络、算法等知识。你可能会想前端不需要算法,那你可能就错了,在大公司面试,面试官同样会看重学生这些学科基础知识。
你可能发现了我没有提到React/Vue这些框架的知识,这里得说一说,大公司不会过度的关注这方面框架的知识,他们往往更加考察学生的基础。
这里我的建议是,如果你至少使用或掌握其中一门框架,那是最好的,可以去刷刷相关框架的面试题,这样在面试过程中即使被问到了,也可以回答个 7788。如果你没有使用过框架,那也不需要太担心,把重点放在基础知识和学科基础知识之上,有其余精力的话可以去看看主流框架的核心思想。

Java攻城尸
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
js注入攻击代码
weixin_35756637的博客
01-17 1347
JS注入攻击是一种利用漏洞在网页植入恶意JS代码的攻击方式。攻击者可以通过在网页的表单、搜索框等输入框中输入恶意代码,并将其发送到服务器上,服务器在解析和返回网页时将恶意代码一并返回给用户。攻击代码可能包含跳转到恶意网站、收集用户信息等内容。 举例: <script> alert("JS Injection Attack"); </script> 这是一个简单的...
跨站脚本攻击原理、攻击过程及防御方法简介
seek_2022的博客
05-03 8616
文章目录一、XSS简介(一)什么是XSS?(二)XSS的危害(三)XSS的分类(四)XSS的特性(五)XSS攻击过程二、如何防御XSS攻击?三、本文小结 一、XSS简介 (一)什么是XSS? Cross-Site Scripting,简称为XSS或跨站脚本或跨站脚本攻击,是一种针对网站应用程序的安全漏洞攻击技术,是代码注入的一种。通常安全圈内的人喜欢称其为前端注入。 前端注入:用户输入的数据被当做前端代码执行(一般是当做JS代码执行)。 前端的三种代码中,出现XSS漏洞时,90%的情况下,注入的代码是被当
7 种常见的前端安全攻击
2201_75362610的博客
01-27 1010
最近发生的诸如Balancer 协议泄露之类的事件暴露了攻击者在利用前端漏洞时可以造成多大的损害。据公开承认的消息,Balancer Protocol 据报道遭到前端攻击,造成超过 24 万美元的损失。由于黑客工具和脚本的激增,发起攻击的障碍不断下降,对 Web 应用程序的威胁持续增长。这些迫使受害者在他们登录的应用程序中执行不需要的操作。例如,攻击者可以通过伪装的链接欺骗用户,使用用户存储的凭据悄悄地从用户的帐户中转移资金。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
如何避免XSS攻击
狂欢的博客
08-25 843
前言 XSS 攻击:即跨站脚本攻击,它是 Web 程序中常见的漏洞。原理是攻击者往 Web 页面里插入恶意的脚本代码(css 代码、Javascript 代码等),当用户浏览该页面时,嵌入其中的脚本代码会被执行,从而达到恶意攻击用户的目的,如盗取用户 cookie、破坏页面结构、重定向到其他网站等。 预防: 1、获取用户的输入,不用innerHtml,用innerText. 2、预防 XSS 的核...
IFE-2017:百度前端技术学院项目
03-24
【IFE-2017: 百度前端技术学院项目】是百度在2017年推出的一个前端技术教育项目,旨在培养和提升前端工程师的专业技能。...通过深入研究这些Demo,你可以获得实际项目的经验,为你的前端开发之路打下坚实的基础。
详解升讯威在线客服系统前端 JavaScript 脚本加密技术(1).doc
07-11
因此,了解并实施这些前端脚本加密技术对于任何开发者来说都是必要的,尤其是在开发涉及敏感数据的应用时。 总之,升讯威在线客服系统前端JavaScript脚本的加密技术结合了混淆、压缩和可能的加密算法等多种手段,...
商城前端源代码
03-28
【标题】"商城前端源代码"涉及的知识点涵盖了前端开发中的...总的来说,"商城前端源代码"是一个涵盖广泛前端技术的实践项目,适合开发者进行二次开发和学习,提升前端技能,了解电子商务平台的前端开发流程和最佳实践。
个人网站毕业设计有源码
11-24
3. **JavaScript**:作为前端的主要编程语言,JavaScript负责网页的动态效果和交互功能。学生可能使用jQuery库简化DOM操作,或者学习React、Vue.js等现代前端框架来构建更复杂的单页应用。 4. **响应式设计**:考虑...
网页前端chm手册
01-29
前端开发者也需要了解基本的安全概念,如XSS(跨站脚本攻击)、CSRF(跨站请求伪造)防护,以及如何正确处理用户输入以防止注入攻击。 总的来说,这份"网页前端chm手册"将引导初学者全面了解前端开发的各个方面,...
OpenSNN推文:近期优质博客推荐汇总
opensnn的博客
07-12 304
国内个人博客站点众多,涵盖了技术、生活、艺术等多个领域。
前端技术学习记录-基础知识(二)JavaScript基本语法
adanjeep的博客
07-11 206
/ 声明一个String类型的变量name name = "Alice";// 初始化变量name int age;// 声明一个int类型的变量age age = 25;// 初始化变量age。静态强类型:Java语言,在申明变量时,需要明确定于变量的类型。对明确申明的变量,需要做强制转换,才会发生变化,否则不变。//数字 a = "hahaha";//字符串 </script>动态弱类型语言:变量可以存放在不同类型的值(动态)=== 比较相等(不会进行隐式类型转换)>>> 无符号右移(逻辑右移)
如何搭建互联网医院系统源码?医疗陪诊APP开发实战详解
meihusdk的博客
07-11 278
希望本文能够为正在或即将从事相关开发的技术人员提供一些参考和帮助。通过不断的努力和创新,我们可以为患者提供更优质的医疗服务,推动医疗行业的数字化转型。
微信小程序开发笔记之”表单读不出数据“解决指南
qq_46396470的博客
07-12 311
脑瓜子好了后,忘记了表单控件必须要加上。提交后打印的字典是空的,卡了十几分钟。
Node多版本管理器NVM安装使用
GongWeiBuQi的博客
07-11 202
安装node很方便,只需要一条命令可以轻松切换node版本可以多版本node并存。
Javafx利用fxml变换场景的小细节
2301_80311013的博客
07-09 913
在这个代码中,在JavaFX中,FXMLLoader是用来加载FXML文件并将其转换为Java对象(例如控制器类)的工具。当您使用FXMLLoaderFXMLLoader在整个过程中,FXMLLoader是使用JavaFX的后台线程(也称为JavaFX线程)来执行这些操作的,这是为了保持UI线程的响应性。这意味着在用户界面(UI)线程中,您不会看到任何阻塞,即使FXMLLoader正在执行耗时的操作。当FXMLLoader完成加载并调用load()方法时,它会返回一个Parent。
【vueUse库Reactivity模块各函数简介及使用方法--下篇】
xiejunlan的博客
07-11 1412
vueUseReactivity函数构想中的refWithControl函数可能的实现方式总结2. syncRef构想中的syncRef函数可能的实现方式注意事项总结3.syncRefs构想中的syncRefs函数可能的实现方式注意事项总结假想的toReactive函数注意事项假设的toReactive函数实现结论5.toReftoRef函数介绍使用方法示例代码总结6.toRefstoRefs函数介绍使用方法示例代码总结7.toValue使用 Vue 3 自身的 API示例使用 vueUse 的类似功能。
this指向解析
最新发布
Zrf2191318455的博客
07-14 268
2.3:调用构造函数personA中的show2函数,为箭头函数,指向外层最近的普通函数的this,在第一题中,person1只是一个对象,所以指向windows,但是在第二题中,personA为构造函数,show2指向的就是personA,所以依旧打印personA。1.8:调用person1中的show4函数,并再次调用返回函数,show4为普通函数,返回函数为箭头函数,箭头函数的this指向为外面最近一层普通函数的this,即show4的this,因此打印person1。
一个使用Go语言和现代Web技术构建跨平台桌面应用程序开源项目
yunmoon的博客
07-10 1059
Wails作为一个桥梁,连接强大的Go后端逻辑与丰富的Web前端界面,允许开发者利用两者的最佳特性来开发应用。
网站前端设计课程设计样本.doc
12-21
本资源是一份详尽的网站前端设计课程设计样本,针对计算机与控制工程学院的学生,以海贼王为主题进行课程实践。课程要求学生运用HTML、CSS和JavaScript等前端技术,设计并实现一个具有八页以上内容的网站,包括首页...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值