2019独角兽企业重金招聘Python工程师标准>>>

1.XSS攻击

跨站脚本攻击在网页中嵌入恶意脚本程序,当用户打开网页时,脚本程序便会开始在客户端的浏览器上执行,盗取客户端cookie、用户名密码,下载执行病毒木马程序,甚至获取客户端admin权限等。

例如:1.通过表单输入并提交,2.通过URL采用URLEncode 迷糊用户。

攻击力取决于用户输入的脚本。

防范XSS:对用户输入的数据进行参数验证,过滤掉敏感字符,并进行HTML转义处理。

2.CRSF

跨站请求伪造是对网站一种恶意利用,通过伪装来自受信任用户的请求来利用受信任的网站。

攻击原理:

1、用户A访问浏览器并登录网站B,验证通过,浏览器生成站点B的cookie ,站点B(受信任)

2、用户A在没有退出站点B的情况下,访问恶意站点C (站点C恶意)

3、站点C要求访问第三方站点B, 根据站点C的要求浏览器带着站点B产生的cookie

访问站点B

4、由于浏览器会带上用户A的cookie, 站点B并不知道请求是站点C发出的,因此

站点B会根据用户A的请求做出处理,结果站点C就达到了伪造用户A请求目的。

CSRF防御:

1、将cookie 设置为HttpOnly

response.setHeader("Set-Cookie","cookiename=cookievalue;HttpOnly");

2、增加token:

进行token验证,token不存在于cookie中,token由服务端进行指定

3、通过识别Referer

根据http协议,在http头中有一个字段叫Referer, 它记录了该http请求的来源地址,在通常情况,访问一个安全受限制的页面请求都来自于同一个网站。

String referer = request.getHeader("Referef");

3、SQL注入攻击

就不多说了,大家都知道。

4、文件上传漏洞

对文件进行黑白名单校验,限制上传文件大小、重新命名,使用魔数来判断文件类型(根据字节的的内容确定文件类型)

5、DDOS 攻击

最基本的dos 攻击就是利用合理的客户端请求来占用过多的服务器资源,使用合法用户无法得到服务器的响应,对于内存大,网络流量大攻击就不明显。

dsso 利用公用网络,将庞大的计算机设备联合起来作为攻击平台,对一个和多个目标发

转载于:https://my.oschina.net/zhangxinyuan/blog/863219

常见的web 攻击手段相关推荐

  1. 常见的Web攻击手段,拿捏了!

    大家好,我是小菜. 一个希望能够成为 吹着牛X谈架构 的男人!如果你也想成为我想成为的人,不然点个关注做个伴,让小菜不再孤单! 本文主要介绍 互联网中常见的 Web 攻击手段 如有需要,可以参考 如有 ...

  2. 常见的Web攻击手段-整理

    整理常见的Web攻击手段: XSS攻击 CSRF攻击 SQL注入攻击 文件上传漏洞 DDoS攻击 其他攻击手段 XSS攻击 XSS(Cross Site Scripting)跨站脚本攻击,为了不与层叠 ...

  3. 常见的web攻击手段

    整理自网上关于web攻击的热门文章. (一)跨站脚本攻击 跨站脚本攻击(Cross-Site Scripting,XSS)是指通过存在安全漏洞的web网站注册用户的浏览器内运行非法的HTML标签或Ja ...

  4. WEB攻击手段及防御-扩展篇

    转载自 WEB攻击手段及防御-扩展篇 之前的文章介绍了常见的XSS攻击.SQL注入.CSRF攻击等攻击方式和防御手段,没有看的去翻看之前的文章,这些都是针对代码或系统本身发生的攻击,另外还有一些攻击方 ...

  5. 安全漏洞防御(9)常见的网站攻击手段及预防措施

    XSS XSS攻击的全称是跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表 (Cascading Style Sheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS ...

  6. 常见的Web攻击方式有哪些?黑客:28种总有一款适合你

    作者:蔚可云2021-01-27 09:41:41 安全应用安全 Web攻击手段,有些可植入恶意代码,有些可获取网站权限,有些还能获取网站用户隐私信息,光常见的Web攻击,就有28种之多,方式多.破坏 ...

  7. 常见的Web攻击.md

    1.ZIP炸弹 zip炸弹就是一个高压缩比的zip文件,它本身可能只有几M或几十M的大小,但是解压缩之后会产生巨大的数据量,会解压到几十G的大小甚至更大,这种zip文件会对解压缩的系统造成严重的资源负 ...

  8. 常见的web攻击有哪些?如何防御?

    web攻击是什么 Web攻击(WebAttack)是针对用户上网行为或网站服务器等设备进行攻击的行为,如植入恶意代码.修改网站权限.获取网站用户隐私信息等 Web应用程序的安全性是任何基于Web业务的 ...

  9. 常见的web攻击技术

    今天看图解http,里面讲了些常见的web攻击技术,写一个博客对其原理及其应对方式进行一个整理 1.xss跨站攻击技术:主要是攻击者往网页里嵌入恶意脚本,或者通过改变html元素属性来实现攻击,主要原 ...

最新文章

  1. vue 修改div宽度_vue 拖动调整左右两侧div的宽度
  2. 日积月累:ProguardGui进行jar包代码混淆
  3. 【IT资讯】华为全球高薪招聘“天才少年”迎战:年薪89.6万起,201万封顶
  4. idea导入maven项目依赖报错_解决Maven依赖冲突的好帮手,这款IDEA插件了解一下?
  5. centos 搭建web平台
  6. 苹果微信更新不了最新版本_微信最新版建议更新!还有一个功能彩蛋!
  7. 5.mybatis实战教程(mybatis in action)之五:与spring3集成(附源码)
  8. python中冒号的语法错误_找不出python的语法错误该如何解决?
  9. c语言的链表ppt,C语言链表详解ppt.ppt
  10. 内网计算机ip地址查询,内网ip地址怎么查看_怎么查看内网ip地址_如何查看电脑的内网IP地址...
  11. 计算机识别人脸原理,人脸识别:原理、方法与技术
  12. 【2019暑假】市中小学生游泳比赛-酱油记By Chavapa
  13. linux实验报告 dns 新增域名,Linux实验报告DNS及虚拟主机.docx
  14. float单精度浮点和double双精度浮点
  15. uni-app项目(首页)
  16. 参加CCF CSP认证者须知
  17. 用MPAndoidChart展示搜索到的GPS及卫星信息
  18. 网罗软件测试知识体系汇总
  19. DNF60版本阿里云服务器+本地客服端教程①服务端搭建
  20. 【渝粤教育】国家开放大学2018年春季 8622-21T社会调查研究与方法 参考试题

热门文章

  1. 在Eclipse中编写servlet时出现The import javax.servlet cannot be resolved 问题解决办法
  2. 转:3d max 2013 安装教程,凭着一种互联网精神提供给广大朋友
  3. 英宝通4.0公开课---致力于提供最新的Unity3D技术
  4. 什么是DQL、DML、DDL、DCL
  5. 学会做“男人”—Linux Man的使用技巧
  6. IOI 2007 Sail (线段树+贪心)
  7. 【洛谷 P2303】 [SDOi2012]Longge的问题 (欧拉函数)
  8. 关于python中excel写入案例
  9. 关于异常“The 'Microsoft.ACE.OLEDB.12.0' provider is not registered on the local machine”的处理...
  10. 2014-2-28 思杨的语言能力