1、XSS

跨站式脚本攻击。Cross-Site Scripting。因为与 CSS 重名所以变更为 XSS。

反射性

通过在传参处植入代码,实现数据的传输。

存储型

借助存储能力,植入恶意代码。当用户读取该输入时,如果是直接运行到页面。就会把恶意脚本一并执行。

常见危害

  • 获取页面数据
  • 获取Cookies
  • 劫持前端逻辑
  • 发送请求
  • 偷取网页数据
  • 偷取用户信息
  • 偷取用户的登录态
  • 欺骗用户

防范方案

HEAD

通过添加 header 来禁止 XSS 过滤

ctx.set('X-XSS-Protection', 0)

0 禁止
1 启动(默认)

CSP

内容安全策略 (CSP, Content Security Policy)。建立白名单,告诉浏览器哪些外部资源可以加载和执行。

只允许加载本站资源

Content-Security-Policy: default-src 'self'

只允许加载 HTTPS 协议图片

Content-Security-Policy: img-src https://*

不允许加载任何来源框架

Content-Security-Policy: child-src 'none'

转义字符

黑名单

将用户所以敏感字符串,全部替换成转义字符。

安装 xss 依赖。使用 xss('<script>alert('layouwen')</script>') 函数转义。

HttpOnly Cookie

设置请求头,不允许 js 直接获取 cookie。防止 XSS 攻击后获取信息。

response.addHeader('Set-Cookie', 'name=layouwen; Path=/; HttpOnly')

2、CSRF

CSRF(Cross Site Request Forgery),跨站请求伪造。

通过特殊方式,诱导我们在恶意网址中请求我们目标地址。会把我们的 cookie 一并携带。如果 hack 对我们请求参数做了手脚,则会伪造身份进行操作。

常见危害

  • 利用用户登录态
  • 伪造业务请求
  • 冒充用户发帖

防范方案

  1. 禁止第三方网站带 Cookie
  2. Referer Check

检查请求方,是否是我们白名单

  1. 短信 / 邮箱 / 滑动验证码

3、clickjacking

点击劫持,通过嵌入iframe并通过某种方式隐藏。欺骗用户点击按钮发送信息。

防范方案

X-FRAME-OPTIONS

设置请求头,不允许 iframe 嵌入。

  • DENY 不允许
  • SAMEORIGIN 同域名允许
  • ALLOW-FROM 允许指定来源
ctx.set('X-FRAME-OPTIONS', 'DENY')

js判断

通过 js 脚本,判断网站是否被嵌套。如果嵌套了就把内容清空隐藏。

4、SQL注入

通过组装条件,使连接 sql 查询时。满足不应该满足的条件,从而获取数据。

防御方案

使用库,将 sql 语句进行转义并处理后执行。

5、OS命令注入

与 SQL 注入类似,都是组装命令从而执行恶意内容。

6、请求劫持

DNS劫持

在 DNS 解析的时候,引导用户访问错误的结果。

HTTP劫持

这个最简单的方法是升级 https

7、常见攻击方式

SYN Flood

我们都知道 TCP 有三次握手。通过大量的连接,每次连接都不完成三次,时TCP连接处于等待下一次握手的状态。达到耗尽目标资源。

HTTP Flood

通过大量的访问,导致服务器处理不过来瘫痪。

Web安全常见基本知识相关推荐

  1. 软考知识点——加密算法、常见计算机网络知识

    目录 一.加密算法 1.常见的加密算法 (1)2021年下半年软考上午真题8 (2)2021年上半年软考上午真题9 2.加密技术的应用 3.网络安全协议分层 (1)2021年上半年软考上午真题7 (2 ...

  2. web渗透需要哪些知识?

    前言 对于很多想学渗透的同学来说,渗透测试要掌握的东西是非常多的,尤其是基础的知识,比如你要渗透某个web服务,你总得了解它的系统把,而能搭建web服务的系统就有很多,window.linux等主流系 ...

  3. Web开发常见的软件架构

    Web开发常见的软件架构 一.看需求分析,看产品PRD:Product Requirement Document 二.根据PRD和产品原型建数据库表,注意三范式要求,用工具到处数据库关系图,并快速地理 ...

  4. WEB应用常见15种安全漏洞一览

    摘要: 安全第一! 原文:web 应用常见安全漏洞一览 作者:深予之 (@senntyou) Fundebug遵循创意共享3.0许可证转载,版权归原作者所有. 1. SQL 注入 SQL 注入就是通过 ...

  5. 从Adobe Photoshop CC 2018的“新建Web”看Web网页常见分辨率

    从Adobe Photoshop CC 2018的"新建Web"看Web网页常见分辨率 试用了Adobo Photoshop CC 2018,看一下Web页面分辨了大小默认设计. ...

  6. Web中间件常见安全漏洞总结

    IIS IIS是Internet Information Services的缩写,意为互联网信息服务,是由微软公司提供的基于运行Microsoft Windows的互联网基本服务.IIS目前只适用于W ...

  7. 跨行交易的一些常见的知识

    跨行交易的一些常见的知识 实例 用户在a银行取b银行账户中的钱,这个时候就属于跨行取钱. 关键有两个问题: 首先是 信息流 银行之前是如何传递金钱的消息的. 第二是资金流: 银行之间是如何传递金钱的. ...

  8. Web安全常见漏洞原理、危害及其修复建议

    web安全常见漏洞原理.危害及其修复建议 一. SQL注入漏洞 原理 危害 修复建议 二.XSS漏洞 原理 危害 修复建议 三. CSRF漏洞 原理 危害 修复建议 四. SSRF漏洞 原理 危害 预 ...

  9. 《从0到1:CTFer成长之路》 [第一章 web入门] 常见的搜集

    <从0到1:CTFer成长之路> [第一章 web入门] 常见的搜集 启动环境: 提示为敏感文件,首先对网站目录进行扫描: 得到如上页面,首先访问robots.txt页面: 得到flag1 ...

最新文章

  1. 树莓派linux编译不了动态库,linux系统下的树莓派与Qt 5.12.3源码的交叉编译
  2. Java基础:IO流之File类
  3. iphone控制电脑_这可能是首款能在电脑上控制iPhone的工具
  4. 用unity制作能量护盾(1)
  5. xshell删除文件夹命令_ssh远程连接GPU服务器进行深度学习以及常用ssh命令汇总
  6. 程序员该如何进行 SQL 数据库的优化?
  7. 服务器客户端通信协议,Redis服务端-客户端通信协议
  8. Bailian4128 单词序列【BFS】
  9. linux查看都哪口状态,linux c 查看网口状态
  10. c语言函数官网,c语言函数
  11. 快回家了,感觉什么事情都不想做,除了吃饭睡觉
  12. ZOJ,PKU--训练题分类
  13. magisk安装失败_安卓5.0到安卓10全版本Xposed安装激活使用教程
  14. 【算法】h0145. 会议安排(贪心算法)
  15. js数字金额转大写,javaScript数字金额转大写。
  16. Jenkins无法访问解决方法
  17. Xposed 插件开发之二: Xposed的一些知识
  18. 倍福--绝对编码器位置保存
  19. CANopen 0x6091齿轮比
  20. 学习知识-你会学习吗?

热门文章

  1. Error creating bean with name 'redisTemplate' defined in URL
  2. 第二篇学会感谢身边的所有人!
  3. httpqyl.php,php使用base64加密解密图片示例分享_PHP
  4. Vijos P1008 篝火晚会
  5. 不藏了,我的一千行 MySQL 学习笔记(2万字长文)
  6. 用python解决经典羊车门问题
  7. 织梦banner图后台添加
  8. 2017年Q1中国无线路由器市场研究报告
  9. Java 必会的工具库,让你的代码量减少90%
  10. javax.net.ssl.SSLException: Unrecognized SSL message, plaintext connection? HTTPS请求异常