2019獨(dú)角獸企業(yè)重金招聘Python工程師標(biāo)準(zhǔn)>>>

1.XSS攻擊

? 跨站腳本攻擊在網(wǎng)頁中嵌入惡意腳本程序，當(dāng)用戶打開網(wǎng)頁時，腳本程序便會開始在客戶端的瀏覽器上執(zhí)行，盜取客戶端cookie、用戶名密碼，下載執(zhí)行病毒木馬程序，甚至獲取客戶端admin權(quán)限等。

例如：1.通過表單輸入并提交，2.通過URL采用URLEncode 迷糊用戶。

攻擊力取決于用戶輸入的腳本。

防范XSS：對用戶輸入的數(shù)據(jù)進(jìn)行參數(shù)驗證，過濾掉敏感字符，并進(jìn)行HTML轉(zhuǎn)義處理。

2.CRSF

跨站請求偽造是對網(wǎng)站一種惡意利用，通過偽裝來自受信任用戶的請求來利用受信任的網(wǎng)站。

攻擊原理：

1、用戶A訪問瀏覽器并登錄網(wǎng)站B，驗證通過，瀏覽器生成站點(diǎn)B的cookie ,站點(diǎn)B（受信任）

2、用戶A在沒有退出站點(diǎn)B的情況下，訪問惡意站點(diǎn)C （站點(diǎn)C惡意）

3、站點(diǎn)C要求訪問第三方站點(diǎn)B, 根據(jù)站點(diǎn)C的要求瀏覽器帶著站點(diǎn)B產(chǎn)生的cookie

訪問站點(diǎn)B

4、由于瀏覽器會帶上用戶A的cookie, 站點(diǎn)B并不知道請求是站點(diǎn)C發(fā)出的，因此

站點(diǎn)B會根據(jù)用戶A的請求做出處理，結(jié)果站點(diǎn)C就達(dá)到了偽造用戶A請求目的。

CSRF防御：

1、將cookie 設(shè)置為HttpOnly

response.setHeader("Set-Cookie","cookiename=cookievalue;HttpOnly");

2、增加token:

進(jìn)行token驗證，token不存在于cookie中，token由服務(wù)端進(jìn)行指定

3、通過識別Referer

根據(jù)http協(xié)議，在http頭中有一個字段叫Referer, 它記錄了該http請求的來源地址，在通常情況，訪問一個安全受限制的頁面請求都來自于同一個網(wǎng)站。

String referer = request.getHeader("Referef");

?

3、SQL注入攻擊

就不多說了，大家都知道。

4、文件上傳漏洞

對文件進(jìn)行黑白名單校驗，限制上傳文件大小、重新命名，使用魔數(shù)來判斷文件類型（根據(jù)字節(jié)的的內(nèi)容確定文件類型）

5、DDOS 攻擊

最基本的dos 攻擊就是利用合理的客戶端請求來占用過多的服務(wù)器資源，使用合法用戶無法得到服務(wù)器的響應(yīng)，對于內(nèi)存大，網(wǎng)絡(luò)流量大攻擊就不明顯。

dsso 利用公用網(wǎng)絡(luò)，將龐大的計算機(jī)設(shè)備聯(lián)合起來作為攻擊平臺，對一個和多個目標(biāo)發(fā)

?

?

轉(zhuǎn)載于:https://my.oschina.net/zhangxinyuan/blog/863219

總結(jié)

以上是生活随笔為你收集整理的常见的web 攻击手段的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。