网络安全中常见的攻击方式
一、前言
参与后台开发,回想起来,也有好几年,但对网络安全,一直没有放在心上。
后来参与公司上线项目接口安全的开发,才渐渐意识到网络安全的重要性。
高可用的接口安全规范
下面总结常见的网络攻击方式
二、客户端攻击
1.XSS攻击
XSS攻击即跨站点脚本攻击(Cross Site Script),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。
它允许恶意web用户将代码植入到提供给其它用户使用的页面中。
| 类型 | 解释 |
|---|---|
| 反射型XSS攻击 | 简单说,就是要用户去点击,点了我才执行响应的命令。这种类型的XSS攻击是最常见的。 |
| 持久型XSS攻击 | 服务端已经接收了,并且存入数据库,当用户访问这个页面时,这段XSS代码会自己触发,不需要有客户端去手动触发操作。 |
| DOM XSS | 简单理解,DOM XSS就是出现在JavaScript代码中的漏洞。 |
| 防御方式 |
|---|
| 对输入的数据做过滤处理。 |
2.CSRF攻击
攻击者通过跨站请求,以合法用户的身份进行非法操作,如转账交易、发表评论等。CSRF的主要手法是利用跨站请求,在用户不知情的情况下,以用户的身份伪造请求。其核心是利用了浏览器Cookie或服务器Session策略,盗取用户身份。
CSRF为什么能够攻击成功?其本质原因是重要操作的所有参数都是可以被攻击者猜测到的。
| 防御方式 | 具体操作 |
|---|---|
| header 加 Token | 表单Token通过在请求参数中增加随机数的办法来阻止攻击者获得所有请求参数(✔) |
| 验证码 | 暴力防御方式,用户体验差 |
| 请求地址验证 | ip校验 |
Spring Security、Struts2等Java框架都已经内置提供了CSRF的防御机制。
三、服务端攻击
1.SQL注入
攻击者在HTTP请求中注入恶意SQL命令(如:drop table users;),服务器用请求参数构造数据库SQL命令时,恶意SQL被一起构造,并在数据库中执行。
| 防御方式 |
|---|
| 使用预处理 PreparedStatement。 |
| 使用正则表达式过滤掉字符中的特殊字符。 |
目前许多数据访问层框架,如IBatis,Hibernate等,都实现SQL预编译和参数绑定,攻击者的恶意SQL会被当做SQL的参数,而不是SQL命令被执行。
2.DoS攻击
DoS 是 Denial of Service 的简称,即拒绝服务,造成 DoS 的攻击行为被称为 DoS 攻击,其目的是使计算机或网络无法提供正常的服务。
| 防御方式 | 具体操作 |
|---|---|
| 验证码 | 暴力防御方式,用户体验差 |
| 限制请求频率 | Yahoo算法,根据IP地址和Cookie等信息,可以计算客户端的请求频率并进行拦截。 |
四、其他
其他攻击如点击劫持、文件上传漏洞、加密算法等,工作繁忙,有空再叙。
网络安全中常见的攻击方式相关推荐
- 网络安全 -- 常见的攻击方式和防守
网络安全 – 常见的攻击方式和防守 一 . 网页中出现黑链 特点: 隐藏,不易发现,字体大小是0,表面上看不出来,代码层面可以查出来,也可能极限偏移,颜色一致 表现: 多表现为非法植入链接,一般点击会 ...
- web 常见的攻击方式
文章目录 web常见的攻击方式有哪些?如何防御? web攻击是什么? XSS CSRF SQL注入 web常见的攻击方式有哪些?如何防御? web攻击是什么? Web攻击(WebAttack)是针对用 ...
- web常见的攻击方式(WebAttack)及如何防御
web常见的攻击方式有哪些?如何防御? 面试官:web常见的攻击方式有哪些?如何防御? 一.是什么 Web攻击(WebAttack)是针对用户上网行为或网站服务器等设备进行攻击的行为 如植入恶意代码, ...
- 从区块链中常见的攻击类型谈区块链的隐私与安全
本文整理自Parity亚洲技术总监贾瑶琪先生在万向区块链蜂巢学院直播间进行的Web 3.0训练营公开课. 过去几年,从比特币到以太坊,区块链系统从最初的分布式账本功能,慢慢进化到现在类似于分布式计算机 ...
- XSS攻击,常见的攻击方式之一,使用JS脚步注入目标网页
XSS攻击 中文名为跨站及脚本攻击,只要指使用JavaScript完成恶意的攻击行为. 是常见的攻击方式之一,操作也比较简单. 一.攻击方式 将JavaScript代码注入到网页中,并由浏览器运行该J ...
- 计算机网络中常见的数据传输方式(电路交换,报文交换,分组交换)
前言:大家好,我是小威,24届毕业生,在一家满意的公司实习.本篇文章将详细介绍计算机网络中常见的数据传输方式,如电路交换,报文交换,分组交换. 如果文章有什么需要改进的地方还请大佬不吝赐教
- java中常见跳出循环的方式总结
java中常见跳出循环的方式一般有两种,一种是常用的break,continue,return方式:另一种是循环标记的方式. 方式一:break,continue,return方式 案例: break ...
- 唯密文攻击、已知明文攻击、选择密文攻击、选择明文攻击(密码分析学中,四大攻击方式)
唯密文攻击.已知明文攻击.选择密文攻击.选择明文攻击(密码分析学中,四大攻击方式) 唯密文攻击:唯密文攻击是假定密码分析者拥有密码算法及明文统计特性,并截获一个或多个用同一密钥加密的密文,通过对这些密 ...
- 网站中常见的验证码方式总结
目前网站中常见的验证码方式总结: 一.随机数字图片验证码 特点:输入图片中的英文或数字来验证 作用:识别人机:防止用户重复注册.登录.灌水(每次识别.输入验证码,哪有那么多耐心) 二.滑动拼图验证 作 ...
- 聊聊护网中常见钓鱼攻击思路
每日一句:HW中,红队.蓝队都会很累.没有说哪个会更强一些,毕竟道高一尺魔高一丈. 一.网络钓鱼 01.一些简介~钓鱼属于社会工程学~在18年的红蓝对抗还不怎么常见,~在19年的时候就比较泛滥了02. ...
最新文章
- iOS开发系列--网络开发(转)
- 结构体指针struct stu *p;和结构体变量struct stu p;结构体为什么要用指针引用而不用变量引用
- HikariCP--一款高性能的 JDBC 连接池
- 数据库的一些基本知识
- Mybatis 关于同一条SQL语句实现批量插入和更新(SaveOrUpdate)完整版
- ssh中exit命令退出远程服务器_解决Linux关闭终端(关闭SSH等)后运行的程序或者服务自动停止...
- 使用软碟通安装 CentOS Stream 会遇到哪些问题
- 在OpenCV中将cv::Mat绘制到MFC的视图中
- uva 12545——Bits Equalizer
- [LeetCode Online Judge]系列-求二维平面内在一条直线上的最大点数
- CSS3 过渡和动画
- linux测试有效组,软件测试:三分钟掌握Linux命令之用户用户组命令(必读系列三)...
- pb dw graph增加series_如何快速增加tiktok视频的播放量
- Gradle Guide
- 浏览器flash/html5视频播放如何倍速(Enounce MySpeed)
- 插上U盘显示这个错误ERROR
- 2018年结婚大数据来了:深圳离婚率高居第三,原因竟然是……
- 如何在Windows 7中管理操作中心
- 让猴子游泳,让鸭子爬树
- html引入vue不兼容ie11,Vue在IE11版本浏览器中的兼容性问题