当前位置:首页 > 谈天说地 > 正文内容

web攻击与防御技术实战,web安全攻防

34资源网2022年06月09日 09:14325

一、Web 网络攻击

过滤和转义特殊字符对访问数据库的Web应用程序采用Web应用防火墙严格检查输入变量的类型和格式过滤和转义特殊字符对访问数据库的Web应用程序采用Web应用防火墙

web 网络攻击是黑客基于用户上网操作行为或针对服务器等硬件设施进行攻击的手段,例如客户端植入恶意攻击代码段,动态修改网站权限,嵌入获取用户隐私信息等

常见的攻击方式:

1)XSS 跨站脚本攻击

2)CSRF 跨站请求伪造

3)SQL 注入

二、XSS

跨站脚本攻击,允许攻击者将恶意代码植入到提供给其它用户使用的页面中

XSS 的攻击目的是为了盗取存储在客户端的 cookie 或者其他网站用于识别客户端身份的敏感信息,盗取到用户信息后,攻击者会利用用户信息与网站进行交互

根据攻击的来源,XSS 攻击可以分成:存储型、反射型、DOM 型

-存储型

攻击者将恶意代码提交到目标网站的数据库中用户打开目标网站时,网站服务端将恶意代码从数据库取出,拼接在 HTML 中返回给浏览器用户浏览器接收到响应后解析执行,混在其中的恶意代码也被执行恶意代码窃取用户数据并发送到攻击者的网站,或者冒充用户的行为,调用目标网站接口执行攻击者指定的操作

这种攻击常见于带有用户保存数据的网站功能,如发帖、商品评论、用户私信等

-反射型

攻击者构造出特殊的 URL,其中包含恶意代码用户打开带有恶意代码的 URL 时,网站服务端将恶意代码从 URL 中取出,拼接在 HTML 中返回给浏览器用户浏览器接收到响应后解析执行,混在其中的恶意代码也被执行恶意代码窃取用户数据并发送到攻击者的网站,或者冒充用户的行为,调用目标网站接口执行攻击者指定的操作

反射型 XSS 跟存储型 XSS 的区别是:存储型 XSS 的恶意代码存在数据库里,反射型 XSS 的恶意代码存在 URL 里。

反射型 XSS 漏洞常见于通过 URL 传递参数的功能,如网站搜索、跳转等。

-DOM 型 XSS

攻击者构造出特殊的 URL,其中包含恶意代码用户打开带有恶意代码的 URL用户浏览器接收到响应后解析执行,前端 JaScript 取出 URL 中的恶意代码并执行恶意代码窃取用户数据并发送到攻击者的网站,或者冒充用户的行为,调用目标网站接口执行攻击者指定的操作

DOM 型 XSS 跟前两种 XSS 的区别:DOM 型 XSS 攻击中,取出和执行恶意代码由浏览器端完成,属于前端 JaScript 自身的安全漏洞,而其他两种 XSS 都属于服务端的安全漏洞

三、CSRF

跨站请求伪造:攻击者诱导受害者进入三方网站,在三方网站中,向被攻击网站发送跨站请求

例如:

用户从网站 A 登录,保留了登录凭证

同时攻击者引导用户访问网站 B

B 网站向 A 网站发送一个请求,浏览器会携带 A 网站的 cookie

A 网站接收请求后,服务器对请求验证确认,确实时用户的凭证,被误认为是用户自己发出的请求

攻击者在用户毫不知情的情况下冒充受害者,执行了自定义的操作。

攻击一般发起在三方网站,而不是被攻击的网站。被攻击的网站无法防止攻击发生攻击利用受害者在被攻击网站的登录凭证,冒充受害者提交操作;而不是直接窃取数据整个过程攻击者并不能获取到受害者的登录凭证,仅仅是“冒用”跨站请求可以用各种方式:图片URL、超链接、CORS、Form提交等等。部分请求方式可以直接嵌入在三方、文章中,难以进行追踪

四、SQL 注入

SQL 注入攻击,是通过将恶意的 SQL 查询或添加语句插入到应用的输入参数中,再在后台 SQL 服务器上解析执行进行的攻击

找出SQL漏洞的注入点判断数据库的类型以及版本猜解用户名和密码利用工具查找Web后台管理入口入侵和破坏

如何预防?

严格检查输入变量的类型和格式过滤和转义特殊字符对访问数据库的Web应用程序采用Web应用防火墙

看完文章,还可以用支付宝扫描下面的二维码领取一个支付宝红包,目前可领1-88元不等

支付宝红包二维码

除了扫码可以领取之外,大家还可以(复制 720087999 打开✔支付宝✔去搜索, h`o`n.g.包哪里来,动动手指就能领)。

看下图所示是好多参与这次活动领取红包的朋友:

支付宝红包

扫描二维码推送至手机访问。

版权声明:本文由34楼发布,如需转载请注明出处。

本文链接:https://www.34l.com/post/17194.html

分享给朋友:

相关文章

抱怨是一种毒药,比较有深度的好文
抱怨是一种毒药,比较有深度的好文

问:怎么每天 都能免费收到这种 好文章呢?烦恼的根源都在自己生气,是因为你不够大度;郁闷,是因为你不够豁达;焦虑,是因为你不够从容;悲伤,是因为你不够坚强;惆怅,是因为你不够阳光;嫉妒,是因为你不够优秀。凡此种种烦恼的根源都在自己这里,所以...

适合普通人做的小本创业点子
适合普通人做的小本创业点子

适合普通人做的小本创业生意有什么??随着零售行业的兴起,小型超市便利店生意成为创业者首选的项目之一,主要原因在于:投入资金小、回笼快,不需要太大的现金流来支撑、一年半左右就能回本。这对于拥有一部分闲置资金,想创业的投资者来说简直是很好的创业...

抖音传话筒项目(傻瓜式复制粘贴轻松月入3000+)
抖音传话筒项目(傻瓜式复制粘贴轻松月入3000+)

可能你觉得你写不出优秀的文案,可能你觉得你没办法配音,可能你觉得不好意思露脸,但又想通过抖音来赚钱,那么今天给大家来说说这个抖音传话筒项目,只需要复制粘贴,一个月轻松赚到3000+,无需露脸配音,更加不需要写文案。上图是我通过抖音搜索“传话...

短视频文案素材哪里找(上热门的短视频素材)
短视频文案素材哪里找(上热门的短视频素材)

抖音怎么写文案?整理了100条抖音抖音爆款文案,直接套用就能火不看后悔系列!!!抖音上爆火的文案。情感、励志、共鸣、实用、反转、提问等6大类型不管你是拍摄什么类型视频 ,都可以直接套用。不多说直接上干货!!!一定要看到最后!!!01—励志类...

购买须知模板怎么编辑(淘宝买家须知免费素材)
购买须知模板怎么编辑(淘宝买家须知免费素材)

为了帮助您入门,在您注册 Shopify 帐户时,后台的模版页面中会设置一个默认模版。如果您想为在线商店自定义一个不同的模版,则需要向后台添加一个模版。 您可通过以下几种方式添加模版: 如果您的计算机上的 .zip 文件中已有一个模版...

微信开放外链,社交想象力有限
微信开放外链,社交想象力有限

编者按:本文来自新熵,创业邦经授权发布,封面图来自摄图网。 作者|古廿 编辑|伊页 网易云音乐上市,丁磊在现场讲了很多的未来,比如元宇宙。但未来是摸不着看不见的,所以愿意放眼未来的人,多半还要立足脚下。 脚下的立足往往来自两个方面...