WEB攻击手段及防御-扩展篇
转载自 WEB攻击手段及防御-扩展篇
之前的文章介绍了常见的XSS攻击、SQL注入、CSRF攻击等攻击方式和防御手段,没有看的去翻看之前的文章,这些都是针对代码或系统本身发生的攻击,另外还有一些攻击方式发生在网络层或者潜在的攻击漏洞在这里也总结一下。
DOS/DDOS攻击
DOS攻击不是说攻击DOS系统,或者通过DOS系统攻击。
DOS攻击全称为Denial of service,即拒绝服务,其主要攻击目的是使计算机硬件或网络宽带资源耗尽从而造成服务器无法提供正常服务,而DDOS攻击就是Distributed denial of service,即分布式的拒绝服务攻击,攻击者利用多台服务器资源对同一个目标服务器发起攻击,从而使目的服务器快速陷入崩溃。
不管是DOS还是DDOS,它们的本质都是通过各种手段消耗目标服务器资源,从而使目标服务器瘫痪不能接受用户的服务。
一般租用像阿里云或者其他的服务器资源都是有web应用防火墙能阻止dos攻击的,如果是自己的服务器需要专业的运维人员对服务器进行相关设置以防止DOS攻击。
DNS攻击
DNS攻击包括有DNS劫持和DNS污染。
DNS劫持即通过某种手段控制DNS服务器,篡改域名真实的解析结果,并返回攻击者的ip地址,从而跳到了攻击者的页面。像我们宽带快到期了或者有什么推广信息,电信总会弹出一个营销界面提示我们宽带快到期了或者什么活动的,这其实就是运营商DN劫持搞的鬼。像在我们本地,也经常会配置host文件以开发测试联调,或者访问那些访问不了你又想访问的网址。
防止DNS劫持可以用国外知名的DNS服务器,像google的8.8.8.8,或者准备两个域名,一个被劫持了引导用户去访问另一个。
DNS污染发生在请求DNS解析前第一步,直接在协议上对DNS解析请求进行干扰,因为DNS查询是基于不可靠无连接的UDP协议,它是没有经过认证的,很容易被篡改,所以攻击者通过在UDP的53端口进行DNS查询检测,并返回攻击者错误的解析结果给用户,这就是DNS污染。
DNS污染可以通过自己搭建DNS服务器,采用TCP加密的形式,但可能延迟比较大。
错误回显
这个在SQL注入防御篇幅中有描述,就是不能把数据库表及代码关键信息输出到用户浏览器,这里不再详细描述。
网页注释
为了开发或联调的便利性,我们经常在代码使用注释,某些注释可能包括重要信息,给攻击者以可乘之机,所以这个最好养成良好的习惯及时删除敏感的注释或者开发完成对代码进行审视。
文件上传
一般的网站都会有文件上传功能,如人才网就会有包括用户的头像、简历附件什么的,如果攻击者上传一个.exe可执行程序到服务器,那么这个执行程序很有可能操控这个服务器,或者通过这个服务器间接攻击其他内部服务器群,后果是十分严重的。
所以,针对上传功能要限制用户可上传的文件类型,比如头像肯定是jpg等图片格式;文件最好分开存储,一是能提高系统性能,二是就算攻击者攻击了文件服务器也不一定能攻击到别的服务器;另外,存储采用重命名方式,像QQ之间传送文件一般会在文件名后面加上一个".重命令"后缀,就是为了防止用户点击.exe文件造成病毒攻击。
WEB攻击手段及防御-扩展篇相关推荐
- WEB攻击手段及防御第1篇-XSS
概念 XSS全称为Cross Site Script,即跨站点脚本攻击,XSS攻击是最为普遍且中招率最多的web攻击方式,一般攻击者通过在网页恶意植入攻击脚本来篡改网页,在用户浏览网页时就能执行恶意的 ...
- WEB攻击手段及防御第3篇-CSRF
概念 CSRF全称即Cross Site Request forgery,跨站点请求伪造,攻击者通过跨站点进行伪造用户的请求进行合法的非法操作,其攻击手法是通过窃取用户cookie或服务器sessio ...
- WEB攻击手段及防御第2篇-SQL注入
概念 SQL注入即通过WEB表单域插入非法SQL命令,当服务器端构造SQL时采用拼接形式,非法SQL与正常SQL一并构造并在数据库中执行. 简单的SQL注入的例子: 例1:test123456 or ...
- 安全漏洞防御(3) WEB攻击手段及防御第2篇-SQL注入
概念 SQL注入即通过WEB表单域插入非法SQL命令,当服务器端构造SQL时采用拼接形式,非法SQL与正常SQL一并构造并在数据库中执行. 简单的SQL注入的例子: 例1:test123456 or ...
- 常见的攻击手段及其防御方式
本文简单介绍几种常见的攻击手段及其防御方式 XSS(跨站脚本攻击) CSRF(跨站请求伪造) SQL注入 DDOS XSS 概念 全称是跨站脚本攻击(Cross Site Scripting),指攻击 ...
- 常见的Web攻击手段,拿捏了!
大家好,我是小菜. 一个希望能够成为 吹着牛X谈架构 的男人!如果你也想成为我想成为的人,不然点个关注做个伴,让小菜不再孤单! 本文主要介绍 互联网中常见的 Web 攻击手段 如有需要,可以参考 如有 ...
- 网络安全:常见攻击手段及防御
随着互联网的发展,网络安全日益显的尤为重要,接下来介绍一下常见的web攻击手段. 1.XSS攻击(Cross Site Scripting) 全称跨站脚本攻击 是一种常见的攻击手段之一,攻击者主要通 ...
- 常见的Web攻击手段-整理
整理常见的Web攻击手段: XSS攻击 CSRF攻击 SQL注入攻击 文件上传漏洞 DDoS攻击 其他攻击手段 XSS攻击 XSS(Cross Site Scripting)跨站脚本攻击,为了不与层叠 ...
- 《Web应用漏洞侦测与防御:揭秘鲜为人知的攻击手段和防御技术》——导读
** 前言 ** 关于Web的格言或警句中,你最喜欢哪一个?这些格言或警句很可能会涉及Web安全或网站所面临的威胁.本书通过黑客最经常利用的8组安全弱点及漏洞,试着阐明复杂难解的Web安全性问题.对读 ...
最新文章
- 智源沙龙:人工智能的技术发展与投资
- python import 路径_Python 从相对路径下import的方法
- 《C语言及程序设计》实践参考——乘法口诀表
- Docker容器实战思维
- 在Salesforce中调用外部系统所提供的的Web Service
- unity如何往下挖地形_Unreal Engine地形系统辨析(一)
- CImg库【C++】
- Linux的cron任务的自启动判断、及启动、关闭 - Xshell命令篇
- 22 省遭受重大洪灾,机器学习未来能预报么?
- 小米手机上的便签更改了,如何恢复之前的内容?
- 计算机锁屏图片怎么设置方法,电脑锁屏照片怎么设置
- 不存在开发板或没有链接_手把手教你搭建织女星开发板RISC-V开发环境
- 重庆小飞龙前端第一天----了解html
- 高德地图插件使用汇总(干货-从注册到熟练使用)
- 爬楼梯当中的递归简化计算
- 热血江湖20.0单机版一键端带藏宝阁带GM工具网单游戏
- 鞍山市2021中高考成绩查询,2021年鞍山高中学校排名及录取分数线排名
- linux系统的文件系统管理
- 分析:新零售时代下的智慧供应链 阿里供应链布局揭秘?
- shell 获取秒、毫秒和纳秒
热门文章
- 高等数学上-赵立军-北京大学出版社-题解-练习5.7
- python如何使用多线程_Python 类中的方法如何多线程调用?
- workman php 安装,workerman安装及遇到的问题解决
- Leetcode 1109.航班预定统计 差分
- K. Easy Sigma(类欧几里得)
- P2596 [ZJOI2006]书架(fhq treap)
- Codeforces Round #766 (Div. 2) D. Not Adding 数学gcd
- CF1253F Cheap Robot
- 欧拉函数(简单介绍+例题)
- P1993 小 K 的农场