您现在的位置是:首页 > 正文

常见的Web应用攻击手段

2024-02-01 05:55:09阅读 1

常见的Web应用攻击手段

1.XSS攻击

XSS攻击即跨站点脚本攻击(Cross Site Script),指黑客通过篡改网页,注入恶意HTML脚本,在用户浏览网页时,控制用户浏览器进行恶意操作的一种攻击方式。

分类

  • 1.1 反射型

    攻击者诱使用户点击一个嵌入恶意脚本的链接,达到攻击的目的

  • 1.2 持久型

    黑客提交含有恶意脚本的请求,保存在被攻击的Web站点的数据库中,用户浏览网页时,恶意脚本被包含在正常页面中,达到攻击的目的

防护手段

  • 1.3消毒

    XSS攻击者一般都是通过在请求中嵌入恶意脚本达到攻击的目的,这些脚本是一般用户输入中不使用的,如果进行过滤和消毒处理,即对某些html危险字符转义就可以让绝大部分攻击失败

  • 1.4HttpOnly

    浏览器禁止页面JavaScript访问带有HttpOnly属性的Cookie,可以防止Cookie中的数据被窃取

2.注入攻击

分类

  • 2.1 SQL注入攻击

    攻击者在HTTP请求中注入恶意SQL命令(drop table users;),服务器用请求参数构造数据库SQL命令时,恶意SQL被一起构造,并在数据库中执行。

  • 2.2 OS注入攻击

防护手段

  • 2.3 消毒

    通过正则匹配,过滤请求数据中可能注入的SQL

  • 2.4 参数绑定

    使用预编译手段,绑定参数是最好的防SQL注入方法。目前许多数据访问层框架,如IBatis,Hibernate等,都实现SQL预编译和参数绑定,攻击者的恶意SQL会被当做SQL的参数,而不是SQL命令被执行。

3.CSRF攻击

攻击者通过跨站请求,以合法用户的身份进行非法操作,如转账交易、发表评论等;
CSRF的主要手法是利用跨站请求,在用户不知情的情况下,以用户的身份伪造请求。其核心是利用了浏览器Cookie或服务器Session策略,盗取用户身份。

防护手段

  • 3.1 Token验证

    通过在请求参数中增加随机数的办法来阻止攻击者获得所有请求参数:在页面表单中增加一个随机数作为Token,每次响应页面的Token都不相同,从正常页面提交的请求会包含该Token值,而伪造的请求无法获得该值,服务器检查请求参数中Token的值是否存在并且正确以确定请求提交者是否合法

  • 3.2 验证码

    验证码则更加简单有效;
    请求提交时,需要用户输入验证码,以避免在用户不知情的情况下被攻击者伪造请求。但是输入验证码是一个糟糕的用户体验,所以请在必要时使用,

  • 3.3 Referer check

    HTTP请求头的Referer域中记录着请求来源,可通过检查请求来源,验证其是否合法。

网站文章

  • unity 检测物体是否在相机视野范围内

    脚本挂在摄像机要显示的对象上前提:该对象有 render 组件public class visibleTT : MonoBehaviour{ public bool isRendering = false; public float lastTime = 0; public float curTime = 0; void Update() {

    2024-02-01 05:55:03
  • androidstudio 使用正则表达式替换xml相关内容

    androidstudio 使用正则表达式替换xml相关内容

    例如我在xml文件中,需要在edittext增加限制输入数据类型为数字类型 在替换栏中使用$n(n代表正则表达式中括号的索引,从1开始)来保存原来的换行等需要保留的内容 替换后的效果: ...

    2024-02-01 05:54:56
  • 企业的述职如何做才有效?

    企业的述职如何做才有效?

    有句话说的好,群众的眼睛是雪亮的。他们的回答是完全走形式,我的上级就在述职现场那我肯定挑好的说,作用不大。每年的问题都差不多,每年都述职,我都没感觉了。让所有的参与人,包括评估者和被评估者正确理解36...

    2024-02-01 05:54:50
  • 移植RTT--官方教程

    移植RTT--官方教程

    CPU架构移植:大部分的CPU都移植好了,不太需要用户去操作。libcpu文件夹里面就是各种的CPU架构。主要处理标红四个函数: 函数和变量 描述 rt_base_t rt_hw_interrupt_...

    2024-02-01 05:54:20
  • 怎样做到长期写一个价值博客?

    怎样做到长期写一个价值博客?

    怎样做到长期写一个价值博客?(一)为什么你应该(从现在开始就)写博客用一句话来说就是,写一个博客有很多好处,却没有任何明显的坏处。(阿灵顿的情况属于例外,而非常态,就像不能拿抽烟活到一百岁的英国老太太...

    2024-02-01 05:54:14
  • XxlJob(一) 分布式定时任务XxlJob用法及核心调度源码详解

    XxlJob(一) 分布式定时任务XxlJob用法及核心调度源码详解

    XxlJob是目前最流行的分布式定时任务中间件,对比quartz,代码的侵入明显少了很多,而且admin组件提供了可视化ui, 简单易用,目前已经接入几百家物联网公司使用,由此可见XxlJob的强大任务调度能力为广大开发者所认可,那XxlJob是怎么工作的? XxlJob最新依赖版本: 2.3.0 和源码地址: com.xuxueli ...

    2024-02-01 05:54:08
  • java 数据库 html_HTML,Java,C语言,SQL数据库常用单词汇集1

    HTMLlist 列表;img 图片(image);& nbsp; 空格(&和n之间的空格去掉,不要忘记分号); (文字末尾添加)换行;background 背景;position 位...

    2024-02-01 05:53:40
  • JavaScript之迭代器Iterator

    JavaScript之迭代器Iterator

    2024-02-01 05:53:32
  • char str1[]="abc"; char str2[]="abc";str1与str2不相等,为什么

    两者不相等,是因为str1 和 str2 都是字符数组,每个都有其自己的存储区,它们的值则是各存储区的首地址。但有些情况却不一样, 程序如下: #include int main(void) { const char str3[] = "abc"; const char str4[] = "abc"; const char *st

    2024-02-01 05:53:25
  • win10计算机网络共享设置,win10电脑如何设置局域网共享?

    win10计算机网络共享设置,win10电脑如何设置局域网共享?

    win10电脑如何设置局域网共享??平时,大家在学校学习时,需要在课堂上使用到电脑,而有的时候就需要设置局域网共享来分发一些教学素材,或者是作业文档之类的东西,但是一些同学就是苦于不熟悉该如何去设置局...

    2024-02-01 05:52:58