1、XSS

跨站式脚本攻击。Cross-Site Scripting。因为与 CSS 重名所以变更为 XSS。

反射性

通过在传参处植入代码,实现数据的传输。

存储型

借助存储能力,植入恶意代码。当用户读取该输入时,如果是直接运行到页面。就会把恶意脚本一并执行。

常见危害

  • 获取页面数据
  • 获取Cookies
  • 劫持前端逻辑
  • 发送请求
  • 偷取网页数据
  • 偷取用户信息
  • 偷取用户的登录态
  • 欺骗用户

防范方案

HEAD

通过添加 header 来禁止 XSS 过滤

ctx.set('X-XSS-Protection', 0)

0 禁止
1 启动(默认)

CSP

内容安全策略 (CSP, Content Security Policy)。建立白名单,告诉浏览器哪些外部资源可以加载和执行。

只允许加载本站资源

Content-Security-Policy: default-src 'self'

只允许加载 HTTPS 协议图片

Content-Security-Policy: img-src https://*

不允许加载任何来源框架

Content-Security-Policy: child-src 'none'

转义字符

黑名单

将用户所以敏感字符串,全部替换成转义字符。

安装 xss 依赖。使用 xss('<script>alert('layouwen')</script>') 函数转义。

HttpOnly Cookie

设置请求头,不允许 js 直接获取 cookie。防止 XSS 攻击后获取信息。

response.addHeader('Set-Cookie', 'name=layouwen; Path=/; HttpOnly')

2、CSRF

CSRF(Cross Site Request Forgery),跨站请求伪造。

通过特殊方式,诱导我们在恶意网址中请求我们目标地址。会把我们的 cookie 一并携带。如果 hack 对我们请求参数做了手脚,则会伪造身份进行操作。

常见危害

  • 利用用户登录态
  • 伪造业务请求
  • 冒充用户发帖

防范方案

  1. 禁止第三方网站带 Cookie
  2. Referer Check

检查请求方,是否是我们白名单

  1. 短信 / 邮箱 / 滑动验证码

3、clickjacking

点击劫持,通过嵌入iframe并通过某种方式隐藏。欺骗用户点击按钮发送信息。

防范方案

X-FRAME-OPTIONS

设置请求头,不允许 iframe 嵌入。

  • DENY 不允许
  • SAMEORIGIN 同域名允许
  • ALLOW-FROM 允许指定来源
ctx.set('X-FRAME-OPTIONS', 'DENY')

js判断

通过 js 脚本,判断网站是否被嵌套。如果嵌套了就把内容清空隐藏。

4、SQL注入

通过组装条件,使连接 sql 查询时。满足不应该满足的条件,从而获取数据。

防御方案

使用库,将 sql 语句进行转义并处理后执行。

5、OS命令注入

与 SQL 注入类似,都是组装命令从而执行恶意内容。

6、请求劫持

DNS劫持

在 DNS 解析的时候,引导用户访问错误的结果。

HTTP劫持

这个最简单的方法是升级 https

7、常见攻击方式

SYN Flood

我们都知道 TCP 有三次握手。通过大量的连接,每次连接都不完成三次,时TCP连接处于等待下一次握手的状态。达到耗尽目标资源。

HTTP Flood

通过大量的访问,导致服务器处理不过来瘫痪。

Web安全常见基本知识相关推荐

  1. 软考知识点——加密算法、常见计算机网络知识

    目录 一.加密算法 1.常见的加密算法 (1)2021年下半年软考上午真题8 (2)2021年上半年软考上午真题9 2.加密技术的应用 3.网络安全协议分层 (1)2021年上半年软考上午真题7 (2 ...

  2. web渗透需要哪些知识?

    前言 对于很多想学渗透的同学来说,渗透测试要掌握的东西是非常多的,尤其是基础的知识,比如你要渗透某个web服务,你总得了解它的系统把,而能搭建web服务的系统就有很多,window.linux等主流系 ...

  3. Web开发常见的软件架构

    Web开发常见的软件架构 一.看需求分析,看产品PRD:Product Requirement Document 二.根据PRD和产品原型建数据库表,注意三范式要求,用工具到处数据库关系图,并快速地理 ...

  4. WEB应用常见15种安全漏洞一览

    摘要: 安全第一! 原文:web 应用常见安全漏洞一览 作者:深予之 (@senntyou) Fundebug遵循创意共享3.0许可证转载,版权归原作者所有. 1. SQL 注入 SQL 注入就是通过 ...

  5. 从Adobe Photoshop CC 2018的“新建Web”看Web网页常见分辨率

    从Adobe Photoshop CC 2018的"新建Web"看Web网页常见分辨率 试用了Adobo Photoshop CC 2018,看一下Web页面分辨了大小默认设计. ...

  6. Web中间件常见安全漏洞总结

    IIS IIS是Internet Information Services的缩写,意为互联网信息服务,是由微软公司提供的基于运行Microsoft Windows的互联网基本服务.IIS目前只适用于W ...

  7. 跨行交易的一些常见的知识

    跨行交易的一些常见的知识 实例 用户在a银行取b银行账户中的钱,这个时候就属于跨行取钱. 关键有两个问题: 首先是 信息流 银行之前是如何传递金钱的消息的. 第二是资金流: 银行之间是如何传递金钱的. ...

  8. Web安全常见漏洞原理、危害及其修复建议

    web安全常见漏洞原理.危害及其修复建议 一. SQL注入漏洞 原理 危害 修复建议 二.XSS漏洞 原理 危害 修复建议 三. CSRF漏洞 原理 危害 修复建议 四. SSRF漏洞 原理 危害 预 ...

  9. 《从0到1:CTFer成长之路》 [第一章 web入门] 常见的搜集

    <从0到1:CTFer成长之路> [第一章 web入门] 常见的搜集 启动环境: 提示为敏感文件,首先对网站目录进行扫描: 得到如上页面,首先访问robots.txt页面: 得到flag1 ...

最新文章

  1. android 修改编译内核源码 对抗反调试
  2. 居然又要出一部关于程序员的剧!你会追么?
  3. mysql路径查找_如何在MySQL的具有文件路径的列中查找和替换?
  4. SAP:查找某个请求号的传输者是谁
  5. 漫话:程序员要失业了??!机器人开始在GitHub上修Bug了。
  6. c#中控件重绘(放大缩小移动隐藏恢复后不消失)实例
  7. mvc4 html.pager,MVC分页之MvcPager使用详解
  8. antd table排序 vue_商品品牌业务之Vue编写前端页面
  9. 双11实时物流订单实践
  10. Laravel核心解读--HTTP内核
  11. Linux---单例模式
  12. 用Log Explorer恢复数据的基本操作
  13. (转)WriteOnce and RunAnyWhere
  14. MySQL下载安装与配置详细教程
  15. 2022抖音日活用户超8亿,旅游商家如何从抖音获客?
  16. 大学英语四新视野 课后习题+答案翻译 Unit1~Unit8
  17. 加权平均数的例子_excel如何计算加权平均值_excel加权平均值计算公式
  18. 加息对银行股影响|加息是对银行股的利好
  19. Aquatone -- 子域名探测
  20. 【PR 基础】轨道遮罩键、交叉溶解的简单使用

热门文章

  1. JavaSwing——利息计算器
  2. Xtext语言语法介绍
  3. 使用云呐统一运维一体机降低运维数据中心的运营成本
  4. win10修改用户名_win7如何设置局域网共享无需输入用户名和密码
  5. winscp中解压文件
  6. 小练习使用html 中table表格 实现个人简历
  7. HTB靶场系列 linux靶机 Sense靶机
  8. [YOLO专题-11]:YOLO V5 - ultralytics/train基于自定义图片数据集重新训练网络, 完成自己的目标检测
  9. 程序是怎么跑起来的——虚拟内存与动态链接
  10. 移动端车牌识别:新能源车牌识别上线