常見的web攻擊手段

2021-08-21 06:08:18 字數 1871 閱讀 2345

xss:跨站指令碼攻擊

當使用者在表達輸入一段資料後,提交給服務端進行持久化。如果此使用者輸入的是一段指令碼語言,而服務端

使用者輸入的資料沒有經過轉碼、校驗等就存入了資料庫,在其他頁面需要展示此資料時,就會執行此使用者輸入的語言。簡單來說,js的強大不用我來解釋吧

對使用者輸入的資訊進行轉義,例如<>'等等特殊字元。當然,其實很多前端框架也支援這麼做,快查一查你使用的框架支援麼。

如果a銀行存在crsf漏洞,有使用者在登陸完a銀行後沒有退出,a銀行的cookie資訊儲存在瀏覽器。然後呢,使用者不小心進入了惡意**,

此**識別出了使用者客戶端存在a銀行的資訊,那麼惡意**就可以根據此cookie去請求a銀行的轉賬介面,那麼a銀行會誤認為是使用者進行操作從而使惡意**得逞。

將cookie設定為httponly,讓惡意**無法通過指令碼獲取到cookie

所有增刪改以及需要驗證許可權的請求都應該攜帶token

http頭中有乙個referer屬性,此屬性表示請求url位址,驗證每乙個請求的referer是不是由自己系統發起的

使用者輸入的資訊帶有 delete 、drop等危害性十足的sql,就像使用者登入時輸入了使用者名稱 「aaa;drop table user」,那麼在我們沒有任何防禦措施的情況下就會變為「select * from user where username='aaa';drop table user」。然後呢,表就沒了,你說尷不尷尬?

使用原生jdbc時要使用preparedstatement 而不要使用statement,

使用orm框架,像mybatis、hibernate等框架都對sql注入進行了很好的預防

密碼任何時候都不要使用明文存放,避免攻擊者直接獲取使用者資訊

後台發生錯誤時不要直接返回異常資訊,避免對伺服器資訊的洩露。建議對異常進行封裝,返回可控的異常資訊。

沒有對使用者上傳的檔案做校驗,惡意使用者長時間上傳超大檔案占用系統資源,上傳可執行指令碼獲取獲取伺服器資訊

對使用者上傳做限流,每個使用者每天最多上傳多少內容。

對檔案型別進行判斷,不能通過字尾名判斷,而要通過判斷魔數(檔案起始的幾個位元組)來判斷,很多檔案型別的魔數是不變的。

1.攻擊者提前控制大量計算機,並在某一時刻指揮大量計算機同時對某一伺服器進行訪問來達到癱瘓主機的目的。

2.相信大家都知道tcp三次握手的機制,(如不了解請參考文章底部補充)攻擊者利用此機制對伺服器返回的ack確認包不回應,這樣伺服器就會存在大量的等待列表,不斷重試,等待佇列滿了以後不再接受tcp連線,從而阻擋了正常使用者的使用

3.攻擊者向dns伺服器傳送海量的網域名稱解析請求,dns首先查快取,如果快取不存在的話會去遞迴呼叫上級伺服器查詢,直到查詢到全球13臺根伺服器為止,當解析請求過多時正常使用者訪問就會出現dns解析超時問題

使用快取,當快取中存在時就直接取出,不要頻繁的連線資料庫。

縮短 syn timeout時間,即縮短從接受到syn報文到確定這個報文無效並丟棄該連線的時間。

限制源ip每秒發起的dns請求等

首先,請求端(客戶端)傳送乙個包含syn標誌的tcp報文,syn即同步(synchronize),同步報文會指明客戶端使用的埠以及tcp連線的初始序號;

第二步,伺服器在收到客戶端的syn報文,將返回乙個syn+ack的報文,表示客戶端的請求被接受,同時tcp序號被加一,ack即確認(acknowledgment)。

第三步,客戶端也返回乙個確認報文ack給伺服器端,同樣tcp序列號被加一,到此乙個tcp連線完成。

寫這篇文章的目的呢,其實不是說讓大家通過這篇文章成為乙個安全高手或者怎麼的,只是想讓大家了解一下這些常見的攻擊手段。當你知道了這些攻擊手段後看一下你手中的專案是否需要預防一下,畢竟未雨綢繆總是比臨陣磨槍好的多,不是嗎?

Web常見的攻擊手段

type text name name value 當輸入的內容為 alert hello script 最終的效果為 type text name name value alert hello script 這時候就會彈出來hello。這樣的惡作劇還好,如果是獲取使用者賬號密碼的的指令碼呢,那樣的...

常見web攻擊手段總結

xss 就是攻擊者在 web 頁面中插入惡意指令碼,當使用者瀏覽頁面時,促使指令碼執行,從而達到攻擊目的。xss 的特點就是想盡一切辦法在目標 上執行第三方指令碼。舉個例子。原有的 有個將資料庫中的資料顯示到頁面的上功能,document.write data from server 但如果伺服器沒...

常見十大web攻擊手段

目前常用的針對應用漏洞的攻擊已經多達幾百種,最為常見的攻擊為下表列出的十種。十大攻擊手段 應用威脅 負面影響 後果跨 指令碼攻擊 標識盜竊,敏感資料丟失 黑客可以模擬合法使用者,控制其帳戶。注入攻擊 通過構造查詢對資料庫 ldap 和其他系統進行非法查詢。黑客可以訪問後端資料庫資訊,修改 盜竊。惡意...