常见的几种web攻击方式及原理
常见的几种web攻击方式
- SQL注入攻击
- 重定向攻击
- 上传文件攻击
- Dos攻击(Denial of Service attack)
- 跨站点请求伪造(CSRF,Cross-Site Request Forgeries)
- XSS攻击(Cross-Site scripting)
常见的web攻击原理
xss跨站攻击技术:
主要是攻击者往网页里嵌入恶意脚本,或者通过改变html元素属性来实现攻击,主要原因在于开发者对用户的变量直接使用导致进入html中会被直接编译成js,通常的get请求通过url来传参,可以在url中传入恶意脚本,从而获取信息,解决方法:特殊字符过滤。
主要是攻击者往网页里嵌入恶意脚本,或者通过改变html元素属性来实现攻击,主要原因在于开发者对用户的变量直接使用导致进入html中会被直接编译成js,通常的get请求通过url来传参,可以在url中传入恶意脚本,从而获取信息,解决方法:特殊字符过滤。
xss是什么
- 跨站脚本攻击
- Web页面里面插入恶意script代码
- 用户浏览该页之时,嵌入其中web里面的script代码会被执行
- 分为:反射型和存储型
xss思路
- 寻找注入点
url 是否带有参数
用户可以输入的地方 - 构造攻击
构造攻击url
构造攻击脚本 - 提交
制作诱人的连接
提交攻击脚本 - 利用敏感信息
利用这些数据做各种坏事了,比如以受害用户身份登陆漏洞网站等
- 寻找注入点
xss的类型
- 反射型:通过给别人发送带有恶意脚本代码参数的url,当url地址被打开时,特有的恶意代码参数被HTML解析、执行
- 存储型:通过提交恶意代码,访问者点击恶意代码、图片后,恶意代码被执行或者跳转到恶意网站,造成个人信息被泄露。
sql注入攻击:
主要是就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如select * from test where username=”wuxu” or 1=1,这样会使用户跳过密码直接登录,具体解决方案:
- 特殊字符过滤,不要用拼接字符串的方法来凑sql语句。
- 对sql语句进行预编译,比如java的preparedstatement。
- 关闭错误信息,攻击者可能会通过不断的尝试来得到数据库的一些信息,所以关闭错误信息变得重要起来。
- 客户端对数据进行加密,使原来传进来的参数因为加密而被过滤掉。
- 控制数据库的权限,比如只能select,不能insert,防止攻击者通过select * from test ;drop tables这种操作
CSRF(Cross-site request forgery跨站请求伪造
CSRF攻击原理
CSRF攻击原理比较简单,如图1所示。其中Web A为存在CSRF漏洞的网站,Web B为攻击者构建的恶意网站,User C为Web A网站的合法用户。
用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A;
在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A;
用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站B;
网站B接收到用户请求后,返回一些攻击性代码,并发出一个请求要求访问第三方站点A;
浏览器在接收到这些攻击性代码后,根据网站B的请求,在用户不知情的情况下携带Cookie信息,向网站A发出请求。网站A并不知道该请求其实是由B发起的,所以会根据用户C的Cookie信息以C的权限处理该请求,导致来自网站B的恶意代码被执行。
CSRF漏洞防御
CSRF漏洞防御主要可以从三个层面进行,即服务端的防御、用户端的防御和安全设备的防御。
Dos攻击(Denial of Service attack)
是一种针对服务器的能够让服务器呈现静止状态的攻击方式。有时候也加服务停止攻击或拒绝服务攻击。其原理就是发送大量的合法请求到服务器,服务器无法分辨这些请求是正常请求还是攻击请求,所以都会照单全收。海量的请求会造成服务器停止工作或拒绝服务的状态。这就是Dos攻击。
常见的几种web攻击方式及原理相关推荐
- 浅谈常用的几种web攻击方式以及解决办法
身在互联网的时候,web在给我们带来便利的同时,有些人也在盯着这些便利,因此出现了攻击网站的现象.所以我们在开发的时候,要注意这些容易被攻击的地方,以及做好防御的措施,下面将介绍一些这些 常见的攻击手 ...
- DDOS攻击器常见的三种DDoS攻击方式详解
一流的攻击速度以及强大的隐蔽性能,使得DDOS集合了市面上所有攻击软件优点成为了最热的攻击方式.接下来本文将简单的介绍一下三种最为流行的DDOS攻击方式. SYN/ACK Flood攻击: 这种攻击方 ...
- 网络安全——常见的几种WEB攻击:
1.XSS攻击:指的是跨脚本攻击,指的是攻击者在网页中嵌套,恶意脚本程序,当用户打开网页时,程序开始在浏览器上启动,盗取用户的cooks,从而盗取密码等信息,下载执行木马程序. 解决方法:XSS之所以 ...
- 10种网络安全攻击方式详解!
在网络攻击逐渐增加的当下,无论是企业还是个人做好网络安全防护都显得尤为重要,而想要有效应对网络攻击,我们就需要对攻击手段进行一定的了解,本文为大家盘点最常见的10种网络安全攻击方式,快来一起看看吧,希 ...
- 最常见的 10种网络安全攻击类型
网络攻击是指旨在针对计算机或计算机化信息系统的任何元素更改.破坏或窃取数据以及利用或损害网络的行为.随着近年来越来越流行的业务数字化,网络攻击一直在增加.虽然有几十种不同类型的攻击,但网络攻击列表包括 ...
- 网络上常见的几种验证码识别方式
现在是一个知识分享的时代,什么技术想要捂住都已经不太可能,通过网络的传播许多技术能够传到我们的手上,只要有心,一个人总能找到他所想要找的技术资料, 验证码识别 的技术也是这样的,有许多理论.实现方法都 ...
- 常见的Web攻击方式有哪些?黑客:28种总有一款适合你
作者:蔚可云2021-01-27 09:41:41 安全应用安全 Web攻击手段,有些可植入恶意代码,有些可获取网站权限,有些还能获取网站用户隐私信息,光常见的Web攻击,就有28种之多,方式多.破坏 ...
- 常见的Web攻击方式及对应防御
Web攻击 XSS(跨站脚本攻击) CSRF(跨站请求伪造) Http Heads攻击 SQL 注入 DOS攻击(拒绝服务攻击) DDOS攻击 (分布式拒绝服务攻击) XSS(跨站脚本攻击) 简介: ...
- 常见的Web攻击方式:SQL注入、XSS跨站脚本攻击、CSRF跨站点请求伪造
常见的Web攻击有SQL注入.XSS跨站脚本攻击.跨站点请求伪造共三类,下面分别简单介绍. 1 SQL注入 1.1 原理 SQL注入就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字 ...
最新文章
- C#第一个程序Helloworld
- git提交到github总是要输入密码_push到github时,每次都要输入用户名和密码的问题...
- C语言enum(枚举)、指针、函数指针
- 2015年第六届蓝桥杯 - 省赛 - C/C++大学A组 - B. 星系炸弹
- 实例手册_独家数据 | 1820Fall 香港研究生商科类14个热门专业 1400+申请实例汇总...
- 列表-使用del关键字从列表删除数据
- java向后兼容吗_Java向后不兼容历史的观察
- python 获取windows上 网络连接信息 ip dhcp dns gateway
- java array_Java 数组
- python引用自己的文件的一切问题
- ExtJs2.0学习系列(10)--Ext.TabPanel之第二式
- QQ音乐全新上线HiRes高解析音质 听歌体验再升级
- commit分拆多个 git_Git操作:在多个分支之间,使用git am打patch和同步分支
- 计算机组成原理 第二章 数据的表示与运算
- redis打开外网访问端口
- Maven使用 | 多模块下的打包问题
- C++ 按值传递的切割问题(Slicing Problem)
- sys.stdout.write()用法
- jquery 模糊匹配
- linux wenj 立即生效_linux方面知识
热门文章
- ArrayList.AddRange 方法
- 学习笔记—冯·诺依曼结构
- php电影选座功能,电影选座系统,挺简单的适合新手看
- content embedding
- 对象模型图(OMD)的简要介绍
- MMSegmention系列之一(准备数据集)
- 蓝桥杯真题 15省7-牌型种数 小明被劫持到X赌城,被迫与其他3人玩牌。 一副扑克牌(去掉大小王牌,共52张),均匀发给4个人,每个人13张。 这时,小明脑子里突然冒出一个问题: 如果不考虑花色,
- 用友20周年会---各路英雄群聚上海共商本土雄心
- JavaScript验证码
- 在通常的微型计算机的汉字系统中,全国计算机等级考试一级选择题训练及答案...