Web安全常见基本知识
1、XSS
跨站式脚本攻击。Cross-Site Scripting。因为与 CSS 重名所以变更为 XSS。
反射性
通过在传参处植入代码,实现数据的传输。
存储型
借助存储能力,植入恶意代码。当用户读取该输入时,如果是直接运行到页面。就会把恶意脚本一并执行。
常见危害
- 获取页面数据
- 获取Cookies
- 劫持前端逻辑
- 发送请求
- 偷取网页数据
- 偷取用户信息
- 偷取用户的登录态
- 欺骗用户
防范方案
HEAD
通过添加 header 来禁止 XSS 过滤
ctx.set('X-XSS-Protection', 0)
0 禁止
1 启动(默认)
CSP
内容安全策略 (CSP, Content Security Policy)。建立白名单,告诉浏览器哪些外部资源可以加载和执行。
只允许加载本站资源
Content-Security-Policy: default-src 'self'
只允许加载 HTTPS 协议图片
Content-Security-Policy: img-src https://*
不允许加载任何来源框架
Content-Security-Policy: child-src 'none'
转义字符
黑名单
将用户所以敏感字符串,全部替换成转义字符。
安装 xss 依赖。使用 xss('<script>alert('layouwen')</script>')
函数转义。
HttpOnly Cookie
设置请求头,不允许 js 直接获取 cookie。防止 XSS 攻击后获取信息。
response.addHeader('Set-Cookie', 'name=layouwen; Path=/; HttpOnly')
2、CSRF
CSRF(Cross Site Request Forgery),跨站请求伪造。
通过特殊方式,诱导我们在恶意网址中请求我们目标地址。会把我们的 cookie 一并携带。如果 hack 对我们请求参数做了手脚,则会伪造身份进行操作。
常见危害
- 利用用户登录态
- 伪造业务请求
- 冒充用户发帖
防范方案
- 禁止第三方网站带 Cookie
- Referer Check
检查请求方,是否是我们白名单
- 短信 / 邮箱 / 滑动验证码
3、clickjacking
点击劫持,通过嵌入iframe并通过某种方式隐藏。欺骗用户点击按钮发送信息。
防范方案
X-FRAME-OPTIONS
设置请求头,不允许 iframe 嵌入。
- DENY 不允许
- SAMEORIGIN 同域名允许
- ALLOW-FROM 允许指定来源
ctx.set('X-FRAME-OPTIONS', 'DENY')
js判断
通过 js 脚本,判断网站是否被嵌套。如果嵌套了就把内容清空隐藏。
4、SQL注入
通过组装条件,使连接 sql 查询时。满足不应该满足的条件,从而获取数据。
防御方案
使用库,将 sql 语句进行转义并处理后执行。
5、OS命令注入
与 SQL 注入类似,都是组装命令从而执行恶意内容。
6、请求劫持
DNS劫持
在 DNS 解析的时候,引导用户访问错误的结果。
HTTP劫持
这个最简单的方法是升级 https
7、常见攻击方式
SYN Flood
我们都知道 TCP 有三次握手。通过大量的连接,每次连接都不完成三次,时TCP连接处于等待下一次握手的状态。达到耗尽目标资源。
HTTP Flood
通过大量的访问,导致服务器处理不过来瘫痪。
Web安全常见基本知识相关推荐
- 软考知识点——加密算法、常见计算机网络知识
目录 一.加密算法 1.常见的加密算法 (1)2021年下半年软考上午真题8 (2)2021年上半年软考上午真题9 2.加密技术的应用 3.网络安全协议分层 (1)2021年上半年软考上午真题7 (2 ...
- web渗透需要哪些知识?
前言 对于很多想学渗透的同学来说,渗透测试要掌握的东西是非常多的,尤其是基础的知识,比如你要渗透某个web服务,你总得了解它的系统把,而能搭建web服务的系统就有很多,window.linux等主流系 ...
- Web开发常见的软件架构
Web开发常见的软件架构 一.看需求分析,看产品PRD:Product Requirement Document 二.根据PRD和产品原型建数据库表,注意三范式要求,用工具到处数据库关系图,并快速地理 ...
- WEB应用常见15种安全漏洞一览
摘要: 安全第一! 原文:web 应用常见安全漏洞一览 作者:深予之 (@senntyou) Fundebug遵循创意共享3.0许可证转载,版权归原作者所有. 1. SQL 注入 SQL 注入就是通过 ...
- 从Adobe Photoshop CC 2018的“新建Web”看Web网页常见分辨率
从Adobe Photoshop CC 2018的"新建Web"看Web网页常见分辨率 试用了Adobo Photoshop CC 2018,看一下Web页面分辨了大小默认设计. ...
- Web中间件常见安全漏洞总结
IIS IIS是Internet Information Services的缩写,意为互联网信息服务,是由微软公司提供的基于运行Microsoft Windows的互联网基本服务.IIS目前只适用于W ...
- 跨行交易的一些常见的知识
跨行交易的一些常见的知识 实例 用户在a银行取b银行账户中的钱,这个时候就属于跨行取钱. 关键有两个问题: 首先是 信息流 银行之前是如何传递金钱的消息的. 第二是资金流: 银行之间是如何传递金钱的. ...
- Web安全常见漏洞原理、危害及其修复建议
web安全常见漏洞原理.危害及其修复建议 一. SQL注入漏洞 原理 危害 修复建议 二.XSS漏洞 原理 危害 修复建议 三. CSRF漏洞 原理 危害 修复建议 四. SSRF漏洞 原理 危害 预 ...
- 《从0到1:CTFer成长之路》 [第一章 web入门] 常见的搜集
<从0到1:CTFer成长之路> [第一章 web入门] 常见的搜集 启动环境: 提示为敏感文件,首先对网站目录进行扫描: 得到如上页面,首先访问robots.txt页面: 得到flag1 ...
最新文章
- 树莓派linux编译不了动态库,linux系统下的树莓派与Qt 5.12.3源码的交叉编译
- Java基础:IO流之File类
- iphone控制电脑_这可能是首款能在电脑上控制iPhone的工具
- 用unity制作能量护盾(1)
- xshell删除文件夹命令_ssh远程连接GPU服务器进行深度学习以及常用ssh命令汇总
- 程序员该如何进行 SQL 数据库的优化?
- 服务器客户端通信协议,Redis服务端-客户端通信协议
- Bailian4128 单词序列【BFS】
- linux查看都哪口状态,linux c 查看网口状态
- c语言函数官网,c语言函数
- 快回家了,感觉什么事情都不想做,除了吃饭睡觉
- ZOJ,PKU--训练题分类
- magisk安装失败_安卓5.0到安卓10全版本Xposed安装激活使用教程
- 【算法】h0145. 会议安排(贪心算法)
- js数字金额转大写,javaScript数字金额转大写。
- Jenkins无法访问解决方法
- Xposed 插件开发之二: Xposed的一些知识
- 倍福--绝对编码器位置保存
- CANopen 0x6091齿轮比
- 学习知识-你会学习吗?
热门文章
- Error creating bean with name 'redisTemplate' defined in URL
- 第二篇学会感谢身边的所有人!
- httpqyl.php,php使用base64加密解密图片示例分享_PHP
- Vijos P1008 篝火晚会
- 不藏了,我的一千行 MySQL 学习笔记(2万字长文)
- 用python解决经典羊车门问题
- 织梦banner图后台添加
- 2017年Q1中国无线路由器市场研究报告
- Java 必会的工具库,让你的代码量减少90%
- javax.net.ssl.SSLException: Unrecognized SSL message, plaintext connection? HTTPS请求异常