常见的网站攻击与防御,道高一尺,魔高一丈
从互联网诞生起,安全威胁就--直伴随着网站的成长,各种Web进犯和信息走漏也从未停止。2011年中国互联网范畴爆出两桩比较大的安全事故,一桩是新浪微博遭XSS进犯,另一桩是以CSDN为代表的多个网站走漏用户密码和个人信息。特别是后者,因为影响人群广泛,部分受影响网站涉及用户实体财物和交易安全,一时成为言论焦点。
一、XSS攻击
xss攻击即跨站点脚本攻击( Cross Site Script), 指黑客通过篡改网页,注入恶意HTML脚本,保存在网站的服务器,在用户浏览网页时,控制用户浏览器进行恶意操作的一种攻击方式。
XSS攻击相对而言是一种“古老”的攻击手段,却又历久弥新,不断变化出新的攻击花样,许多以前认为不可能用来攻击的漏洞也逐渐被攻击者利用。因此XSS防攻击也是非常复杂的。主要手段有如下两种。
1、过滤消毒
xss攻击者一般都是通过在请求中嵌入恶意脚本达到攻击的目的,这些脚本是一般用户输入中不使用的,如果进行过滤和消毒处理,即对某些html 危险字符转义,如“>”转义为“>"、“<”转义为“<” 等,就可以防止大部分攻击。为了避免对不必要的内容错误转义,如“3<5”中的“<”需要进行文本匹配后再转义,如“
2、HttpOnly
最早由微软提出,即浏览器禁止页面JavaScript访问带有HttpOnly属性的Cookie。
HttpOnly并不是直接对抗XSS攻击的,而是防止XSS攻击者窃取Cookie。对于存放敏感
信息的Cookie,如用户认证信息等,可通过对该Cookie添加HttpOnly属性,避免被攻击
脚本窃取。
二、注入攻击
注入攻击主要有两种形式,SQL 注入攻击和OS注入攻击。SQL注入攻击的原理如下。攻击者在HTTP请求中注入恶意SQL命令( drop table users;),服务器用请求参数构造数据库SQL命令时,恶意SQL被一起构造,并在数据库中执行。
SQL注入攻击需要攻击者对数据库结构有所了解才能进行,攻击者获取数据库表结构信息的手段有如下几种:比如网站使用了开源的组件、错误提示返回数据结构信息等。常用防御方式有两种:
1、过滤
和防XSS攻击一样,请求参数消毒是一种比较简单粗暴又有效的手段。通过正则匹配,过滤请求数据中可能注入的SQL,如“ drop table" 、“ b(?:updatelb.?bset|deletebW?bfrom)b"等。
2、参数绑定
使用预编译手段,绑定参数是最好的防SQL注入方法。目前许多数据访问层框架,如IBatis, Hibernate等,都实现SQL预编译和参数绑定,攻击者的恶意SQL会被当做SQL的参数,而不是SQL命令被执行。
除了SQL注入,攻击者还根据具体应用,注入OS命令、编程语言代码等,利用程序漏洞,达到攻击目的。
三、CSRF攻击
CSRF ( Cross Site Request Forgery,跨站点请求伪造),攻击者通过跨站请求,以合法用户的身份进行非法操作,如转账交易、发表评论等。CSRF的主要手法是利用跨站请求,在用户不知情的情况下,以用户的身份伪造请求。其核心是利用了浏览器Cookie或服务器Session策略,盗取用户身份。
相应地,CSRF的防御手段主要是识别请求者身份。主要有下面几种方法。
1、表单token
CSRF是一个伪造用户请求的操作,所以需要构造用户请求的所有参数才可以。表单Token通过在请求参数中增加随机数的办法来阻止攻击者获得所有请求参数:在页面表单中增加一个随机数作为Token,每次响应页面的Token都不相同,从正常页面提交的请求会包含该Token值,而伪造的请求无法获得该值,服务器检查请求参数中Token的值是否存在并且正确以确定请求提交者是否合法。
2、验证码
相对说来,验证码则更加简单有效,即请求提交时,需要用户输入验证码,以避免在用户不知情的情况下被攻击者伪造请求。但是输入验证码是一个糟糕的用户体验,所以请在必要时使用,如支付交易等关键页面。
3、Referer check
HTTP请求头的Referer域中记录着请求来源,可通过检查请求来源,验证其是否合法。很多网站使用这个功能实现图片防盗链(如果图片访问的页面来源不是来自自己网站的网页就拒绝)。
三、其他攻击和漏洞
以上只是列举常见的三种,还有一些其他的也常被黑客利用,比如错误堆栈信息直接返回敏感信息,HTML注释有敏感信息,文件上传只没有限制文件类型(黑客上传恶意脚本),路径遍厉等
常见的网站攻击与防御,道高一尺,魔高一丈相关推荐
- 常见的网站攻击以及如何防御自己的网站被恶意攻击
常见的网站攻击 1,XSS攻击:Cross Site Script,跨站脚本攻击,指黑客通过篡改网页,在提交的内容中写一些恶意攻击的js脚本.举个例子,攻击者在网站留言或者发布带有恶意脚本的连接,诱导 ...
- 常见的网络安全攻击及防御技术概述
网络安全技术涉及从物理层到业务层的各个层面,贯穿产品设计到产品上线运营的全流程.现阶段网络攻击的方式和种类也随着互联网技术的发展而不断迭代,做好网络安全防护的前提是我们要对网络攻击有充分的了解.下文将 ...
- 安全漏洞防御(9)常见的网站攻击手段及预防措施
XSS XSS攻击的全称是跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表 (Cascading Style Sheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS ...
- 常见的DNS攻击与防御
DNS查询通常都是基于UDP的,这就导致了在查询过程中验证机制的缺失,黑客很容易利用该漏洞进行分析.DNS服务可能面临如下DNS攻击风险: 黑客伪造客户端源IP地址发送大量的DNS请求报文,造成DNS ...
- (白帽生存法则)常见的网站攻击方式
目录 1.网页黑链 2.网站根目录中出现大量植入网页 3.网站直接挂木马 4.蠕虫病毒 5.域名劫持 6.网站和服务器密码被篡改 7.网站的数据库被植入内容 8.ddos 9.非法桥页 补充1.挖矿 ...
- 常见的网站攻击方式和防护方式
第一种:DOS攻击 攻击描述: 通过协议方式,或抓住系统漏洞,集中对目标进行网络攻击,让目标计算机或网络无法提供正常的服务或资源访问,使目标系统服务系统停止响应甚至崩溃.例如疯狂Ping攻击,泪滴. ...
- 浅谈 DDoS 攻击与防御
浅谈 DDoS 攻击与防御 原创: iMike 运维之美 什么是 DDoS DDoS 是英文 Distributed Denial of Service 的缩写,中文译作分布式拒绝服务.那什么又是拒 ...
- 黑客网站攻击的主要手段
版权声明 本文原创作者:谷哥的小弟 作者博客地址:http://blog.csdn.net/lfdfhl 黑客与白帽子 有的童鞋觉得黑客和白帽子是同一回事儿,其实不然:而且,他们的工作方式与目标也有很 ...
- 网站常见攻击与防御汇总
从互联网诞生起,安全就一直伴随着网站的发展,各种web攻击和信息泄露也从未停止,本文就当下最要的攻击手段进行一次简单的汇总,也作为自己的备忘. 1.XSS攻击 XSS攻击即跨站脚本攻击,指黑客篡改网页 ...
最新文章
- 云从科技3D人体重建技术刷新3项纪录!仅凭照片即可生成精细模型
- Oracle作业队列入门图文解说
- hihoCoder1678 版本号排序
- linux查看最近修改过的文件
- java子类和父类有相同成员_Java -- 父类和子类拥有同名的成员变量的情况
- android intent传对象,startActivityForResult使用, setResult(RESULT_OK)使用,getArguments(),
- java jar 没有主清单属性_Spring Boot jar中没有主清单属性的解决方法
- SQL SERVER 大小写敏感设置及排序规则详解
- linux环境变量介绍
- Python入门--字典元素的遍历for-in
- 【渝粤教育】21秋期末考试基础会计10258k2
- PHP实现物流查询(通过快递网API实现)
- 计算log以二为底的x用计算机,log以二为底x>1的解法
- ERROR: Minimum supported Gradle version is 5.4.1. Current version is 5.1.1.
- 项目中pom.xml文件变灰且中间有横杠改怎么解决?
- 菜鸟到大神的上位历程,即学即用走向人生巅峰
- C语言的文件读取与写入操作
- 基于Springboot的宠物医院管理系统-JAVA【毕业设计、论文、源码、开题报告】
- 阿里云调用ocr文本识别接口
- 好文转载 【五一创作】自动驾驶技术未来大有可为
热门文章
- cad线加粗怎么设置_CAD图纸线条粗细如何修改?CAD图纸线宽如何调整?
- 电脑计算机怎么没有桌面显示,登陆qq后电脑桌面没有显示怎么做
- JVM笔记-性能监控与分析工具
- 郑大网教育计算机2017,郑州大学-“2017中国大学生计算机设计大赛河南省级赛”在郑州大学举行...
- OpenCV之Vec3f
- LeetCode:20 vaild parentless
- LaTeX:pgf usepackage(宏包)的中译
- 【真人手势动画制作软件】万彩手影大师教程 | 如何让2个对象同时播放
- 【我的Android进阶之旅】 高效的设计稿标注及测量工具Markman介绍
- Python简单操作爬取微博热搜榜(表格.xls模式存储)