web攻击方法及防御总结

37人阅读 评论(0) 收藏 举报
分类:

1. CSRF (cross-site request forgery)跨站请求伪造

一句话概括:

当用户浏览器同时打开危险网站和正常网站,危险网站利用图片隐藏链接,或者js文件操纵用户生成错误请求给正常网站。此时因为用户会携带自己的session验证。危险网站发出的请求得以执行。

根本原因:web的隐式身份验证机制
解决办法: 为每一个提交的表单生成一个随机token, 存储在session中,每次验证表单token,检查token是否正确。

2. XSS (cross site script)跨站脚本攻击

一句话概括:

网站对提交的数据没有转义或过滤不足,导致一些代码存储到系统中,其他用户请求时携带这些代码,从而使用户执行相应错误代码

例如在一个论坛评论中发表:

<script>alert('hacked')</script>

这样的话,当其他用户浏览到这个页面,这段js代码就会被执行。当然,我们还可以执行一些更严重的代码来盗取用户信息。
解决办法: 转移和过滤用户提交的信息

3. session攻击,会话劫持

一句话概括:

用某种手段得到用户session ID,从而冒充用户进行请求

原因: 由于http本身无状态,同时如果想维持一个用户不同请求之间的状态,session ID用来认证用户
三种方式获取用户session ID:

  1. 预测:PHP生成的session ID足够复杂并且难于预测,基本不可能
  2. 会话劫持: URL参数传递sessionID; 隐藏域传递sessionID;比较安全的是cookie传递。但同样可以被xss攻击取得sessionID
  3. 会话固定: 诱骗用户使用指定的sessionID进行登录,这样系统不会分配新的sessionID

防御方法:

  • 每次登陆重置sessionID
  • 设置HTTPOnly,防止客户端脚本访问cookie信息,阻止xss攻击
  • 关闭透明化sessionID
  • user-agent头信息验证
  • token校验
查看评论

常见的Web攻击和防御总结

一个网站建立以后,如果不注意安全方面的问题,很容易被人攻击,下面就讨论一下几种漏洞情况和防止攻击的办法. 一.跨站脚本攻击(XSS)     跨站脚本攻击(XSS,Cross-site s...
  • qq_19776363
  • qq_19776363
  • 2015-10-14 19:04:54
  • 1039

Web前端攻击方式及防御措施

一、XSS 【Cross Site Script】跨站脚本攻击 恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶...
  • Vivian_jay
  • Vivian_jay
  • 2017-02-28 21:27:38
  • 2216

web安全之分布式拒绝攻击-ddos与防范方法

一、从DoS到DDoS      拒绝服务(Denial of Service,DoS)由来已久。自从有了Internet,就有了拒绝服务式攻击方法。由于过去没有大型网站或机构受到过这种攻击,其...
  • u014609111
  • u014609111
  • 2016-09-29 16:45:56
  • 893

常用网站攻击手段及防御方法

电子商务网站,互联网的安全防御相当重要,尤其是牵扯到支付这一块的。本文总结了一些比较通用的 web 安全防御常识,供大家参考一下...
  • tang06211015
  • tang06211015
  • 2016-07-29 23:33:12
  • 4082

WEB安全实战(三)XSS 攻击的防御

前言 上篇文章中提到了 XSS 攻击,而且,也从几个方面介绍了 XSS 攻击带来的严重影响。那么,这篇文章中,主要是针对 XSS 攻击做一个基本的防御,看看可以通过几种方式来修复这个特别常见的安全...
  • happylee6688
  • happylee6688
  • 2014-10-31 21:04:59
  • 18496

针对WEB服务器的攻击途径和防范措施

对策: 1:停止运行不需要的软件 2:定期实施漏洞防范措施 3:对不需要对外公开的端口或者服务加以访问限制,      通过端口扫描确认各端口服务状态(工具:Nmap(windows版)) 4:提高认...
  • liufangaliya
  • liufangaliya
  • 2016-08-10 11:22:37
  • 1706

常见互联网web攻击手段极其防护方法

随着互联网技术的不断发展,大量信息获取变得容易,这也给互联网架构安全带来了严重的挑战。对于常见的web攻击手段主要有XSS、CRSF、SQL注入等。下面本文将介绍常见的攻击手段极其防护方法。 1.XS...
  • wenbo20182
  • wenbo20182
  • 2016-08-14 12:15:14
  • 336

常见web攻击与防御策略

1.XSS 说明: XSS攻击全称 跨站脚本攻击(Cross Site Scripting),是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻...
  • m18625221362
  • m18625221362
  • 2018-01-29 12:00:54
  • 38

web前端攻击详解

前端攻击成因   在web网页的脚本中,有些部分的显示内容会依据外界输入值而发生变化,而如果这些声称html的程序中存在问题,就会滋生名为跨站脚本的安全隐患 XSS跨站脚本攻击:   英文全称c...
  • lidiya007
  • lidiya007
  • 2016-10-20 18:34:09
  • 2109

CSRF攻击介绍及常用防御手段

什么是CSRF攻击? CSRF(跨站点请求伪造),就是攻击者诱使用户访问了一个页面,以该用户身份在第三方站点里执行相关操作。 比如:登陆了sohu博客后,只需要请求这个url,就能够吧编号为“15...
  • qq_35440678
  • qq_35440678
  • 2016-09-22 22:30:11
  • 1538
    个人资料
    持之以恒
    等级:
    访问量: 1638
    积分: 345
    排名: 22万+
    文章存档
    最新评论