常见3大web漏洞

news2024/11/18 15:45:37

常见3大web漏洞

XSS攻击

描述:

跨站脚本(cross site script)-简称XSS,常出现在web应用中的计算机安全漏桶、web应用中的主流攻击方式。

攻击原理:

攻击者利用网站未对用户提交数据进行转义处理或者过滤不足的缺点。

添加恶意代码,嵌入到web页面中去,使别的用户访问都会执行相应的嵌入代码。

目的:想办法获取目标攻击网站的cookie,因为有了cookie相当于有了seesion,有了这些信息就可以在任意能接进互联网的pc登陆该网站,并以其他人的身份登陆,做一些破坏。

示例:

   

上面的代码就是输入一个网络分享的图片,我在src中直接写入了javascript:alert('xss');操作成功后生成帖子,用IE6、7的用户打开这个我发的这个

帖子就会出现下图的alert('xss')弹窗。 如图:

危害:

1、盗取用户资料,比如:登录帐号、网银帐号等。

2、利用用户身份,读取、篡改、添加、删除企业敏感数据等

3、网站挂马

4、控制受害者机器向其它网站发起攻击

解决方案:

XSS的根源主要是没完全过滤客户端提交的数据 ,所以重点是要过滤用户提交的信息。

  • 将重要的cookie标记为http only, 这样的话js 中的document.cookie语句就不能获取到cookie了.
  • 参数合法性检验、过滤: 例如:age用户年龄只允许用户输入数字,而数字之外的字符都过滤掉。
  • 对数据进行Html Encode 处理: 用户将数据提交上来的时候进行HTML编码,将相应的符号转换为实体名称再进行下一步的处理。
  • 过滤或移除特殊的Html标签, 例如: <script>, <iframe> , < for <, > for >, &quot for
  • 过滤js事件的标签。例如 "οnclick=", "onfocus" 等等。
参考:
https://www.cnblogs.com/shytong/p/5308641.html

CSRF攻击(跨站点请求伪造)

简介:

CSRF(Cross-site request forgery)-跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。

XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF更具危险性。

原理:

危害:

主要的危害来自于,攻击者盗用了用户身份,发送恶意请求。

eg:模拟用户的身份发送邮件,发消息,以及支付、转账等财产安全。

解决方案:

  • 通过 referer、token 或者 验证码 来检测用户提交。
  • 尽量不要在页面的链接中暴露用户隐私信息。
  • 对于用户修改删除等操作最好都使用post 操作 。
  • 避免全站通用的cookie,严格设置cookie的域。
https://www.cnblogs.com/shytong/p/5308667.html

SQL注入

简介:

SQL注入是比较常见的网络攻击方式之一,主要是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,实现无帐号登录,甚至篡改数据库。

危害:

  • 数据库信息泄漏:数据库中存放的用户的隐私信息的泄露。
  • 网页篡改:通过操作数据库对特定网页进行篡改。
  • 数据库被恶意操作:数据库服务器被攻击
  • 服务器被远程控制,被安装后门
  • 删除和修改数据库信息

攻击原理:

通常情况下,SQL注入的位置包括:

(1)表单提交,主要是POST请求,也包括GET请求;

(2)URL参数提交,主要为GET请求参数;

(3)Cookie参数提交;

(4)HTTP请求头部的一些可修改的值,比如Referer、User_Agent等;

示例:

举一个简单的例子,select * from user where id=100 ,表示查询id为100的用户信息,如果id=100变为 id=100 or 2=2,sql将变为:select * from user where id=100 or 2=2,将把所有user表的信息查询出来,这就是典型的sql注入。

解决方案:

1)对用户的输入进行校验,使用正则表达式过滤传入的参数

2)使用参数化语句,不要拼接sql,也可以使用安全的存储过程

3)不要使用管理员权限的数据库连接,为每个应用使用权限有限的数据库连接

4)检查数据存储类型

5)重要的信息一定要加密

总之就是既要做好过滤与编码并使用参数化语句,也要把重要的信息进行加密处理,这样sql注入漏洞才能更好的解决。

来源:今日头条

中间人攻击

描述:
    攻击者通过技术手段、 侵入发送方和接收方之间的计算机(如网络代理服务),拦截网络请求窃取并篡改数据。
解决方案:
    通常可以利用加密等方式有效防止中间人攻击,如使用 HTTPS 代替 HTTP。

重放攻击

描述:
把以前发过的数据原封不动地重新发送给接收方。这个发过的数据,可能是攻击者窃听到的别人的数据,也有可能是攻击者曾经自己发过的数据。
危害:
    恶意消耗web有限的资源
    恶意占用爆款商品库存
    秒杀时快速刷走商品
解决方案:
    加随机数:后端生成随机数、标记使用状态
    加时间戳:前端请求带上时间戳
    加序列号:判断请求中的序列号是否连续

DDos攻击

描述:
   DDoS 攻击又是什么呢?
  DDoS的全称是 Distributed Denial of Service,即“分布式拒绝服务”,它的前身是 DoS (Denial of Service,拒绝服务)。
   DDoS 攻击是利用大量计算机同时向服务器发送大量垃圾数据,让服务器因为资源限制而无法处理正常的用户请求。
   重放攻击和 DDoS 攻击有个相同点:
都是利用大量请求快速占用系统资源。有时候,当重放攻击的请求量达到一定量级(如单节点达到 1000 次),就发生质的转变,可视为 DDoS 攻击。目前各大云产商基本都有预防 DDoS 攻击的能力。
解决
  1. 使用DDoS防护软件或服务:许多互联网安全服务提供商(如Cloudflare和Akamai)提供DDoS防护服务。这些服务通常通过多层防御策略和智能路由来阻止恶意流量,保护目标服务器。
  2. 配置防火墙:防火墙可以设置规则,阻止来自特定IP地址或协议的流量。配置防火墙可以有效地限制恶意流量进入服务器。
  3. 更新软件和系统:及时更新服务器软件和操作系统可以弥补安全漏洞,使其更难受到攻击。
  4. 使用CDN:使用内容分发网络(CDN)可以将服务器内容复制到多个地理位置,并通过就近的CDN节点响应用户请求,从而减轻服务器压力,并防止服务器受到DDoS攻击。
  5. 增加带宽:增加带宽可以增加服务器处理大量流量的能力,从而更好地应对DDoS攻击。
  6. 限制IP访问次数:根据用户IP的访问次数,设置限制值,当达到该值后限制其访问,从而减轻服务器压力,同时增加服务器的安全性。
通过高仿ip的方式

高仿IP指的是在网络层使用虚假的IP地址,这些虚假的IP地址看起来与真实IP地址非常相似,但实际上并不属于真实IP地址的范围。使用高仿IP地址可以对抗某些类型的DDoS攻击,因为攻击者无法确定真实的IP地址,从而无法对其发起攻击。

DDoS攻击的主要目的是使目标系统无法正常工作,通过向目标系统发送大量流量来耗尽其网络带宽或资源。攻击者通常使用IP地址伪造技术来掩盖其真实IP地址,并使受害系统无法确定攻击者的位置。

使用高仿IP地址可以使攻击者无法确定真实的IP地址,从而对抗某些类型的DDoS攻击。然而,这并不能完全防止DDoS攻击,因为攻击者仍然可以使用其他方法来发起攻击,例如利用漏洞或使用分布式攻击方式。因此,使用高仿IP地址只是一种减轻DDoS攻击的方法之一,而不是解决该问题的唯一方法。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1505971.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

前端文件上传

文件上传方式 前端文件上传有两种方式&#xff0c;第一种通过二进制blob传输&#xff08;formData传输&#xff09;&#xff0c;第二种是通过base64传输 文件相关的对象 file对象其实是blob的子类 blob对象的第一个参数必须是一个数组&#xff0c;你可以把一个file对象放进去…

Oracle SQL优化(读懂执行计划 一)

目录 SQL执行计划的作用示例演示执行计划概念介绍执行计划实例DISPLAY_CURSOR 类型DISPLAY_AWR 类型 指标详解 SQL执行计划的作用 示例演示 执行计划概念介绍 执行计划实例 DISPLAY_CURSOR 类型 DISPLAY_AWR 类型 指标详解

Vivado原语模板

1.原语的概念 原语是一种元件&#xff01; FPGA原语是芯片制造商已经定义好的基本电路元件&#xff0c;是一系列组成逻辑电路的基本单元&#xff0c;FPGA开发者编写逻辑代码时可以调用原语进行底层构建。 原语可分为预定义原语和用户自定义原语。预定义原语为如and/or等门级原语…

【电路笔记】-PNP晶体管

PNP晶体管 文章目录 PNP晶体管1、概述2、PNP晶体管电路示例3、PNP晶体管识别1、概述 PNP 晶体管与我们在上一篇教程中看到的 NPN 晶体管器件完全相反。 在这种类型的 PNP 晶体管结构中,两个互连的二极管相对于之前的 NPN 晶体管是相反的。 这会产生正-负-正类型的配置,箭头…

vxe-table配合Export2Excel导出object类型数据{type,count}。表格数据呈现是利用插槽,导出只要count该怎么做

先贴一张数据来&#xff1a; 一、然后是vxe-grid的columns配置&#xff1a; 然后就正常用封装好的Export2Excel就行。 碰到一次在控制台报错&#xff1a; 没复现出来&#xff0c;大概就说是count咋样咋样。 以后碰到的话再说&#xff0c;各位要用的话也注意看看 二、或者 用js…

不知道吧,腾讯云轻量应用服务器使用有一些限制!

腾讯云轻量应用服务器相对于云服务器CVM是有一些限制的&#xff0c;比如轻量服务器不支持更换内网IP地址&#xff0c;不支持自定义私有网络VPC&#xff0c;内网连通性方面也有限制&#xff0c;轻量不支持CPU内存、带宽或系统盘单独升级&#xff0c;只能整个套餐整体升级&#x…

AWS 入门实践-远程访问AWS EC2 Linux虚拟机

远程访问AWS EC2 Linux虚拟机是AWS云计算服务中的一个基本且重要的技能。本指南旨在为初学者提供一系列步骤&#xff0c;以便成功地设置并远程访问他们的EC2 Linux实例。包括如何上传下载文件、如何ssh远程登录EC2虚拟机。 一、创建一个AWS EC2 Linux 虚拟机 创建一个Amazon…

MySQL通过SQL语句进行递归查询

这里主要是针对于MySQL8.0以下版本&#xff0c;因为MySQL8.0版本出来了一个WITH RECURSIVE函数专门用来进行递归查询的 先看下表格数据&#xff0c;就是很普通的树结构数据&#xff0c;通过parentId关联上下级关系 下面我们先根据上级节点id递归获取所有的下级节点数据&#x…

nmcli绑定bond双网卡(active-backup模式)

当前网卡mac地址IP都不一样 创建名为“jbl”的新连接&#xff0c;并将其模式设置为“active-backup” nmcli connection add type bond ifname jbl mode active-backup添加物理网卡到bond(JBL),两个物理网卡添加到新创建的bond连接中 nmcli connection add type bond-slave…

python:布伊山德U检验(Buishand U test,BUT)突变点检测(以NDVI时间序列为例)

作者:CSDN @ _养乐多_ 本文将介绍布伊山德U检验(Buishand U test,BUT)突变点检测代码。以 NDVI 时间序列为例。输入数据可以是csv,一列NDVI值,一列时间。代码可以扩展到遥感时间序列突变检测(突变年份、突变幅度等)中。 结果如下图所示, 文章目录 一、准备数据二、…

Building Systems with the ChatGPT API

Building Systems with the ChatGPT API 本文是 https://www.deeplearning.ai/short-courses/building-systems-with-chatgpt/ 这门课程的学习笔记。 文章目录 Building Systems with the ChatGPT APIWhat you’ll learn in this course Language Models, the Chat Format and…

编译原理之词法分析-语法分析-中间代码生成

编译原理之词法分析-语法分析-中间代码生成 文章说明源码效果展示Gitee链接 文章说明 学习编译原理后&#xff0c;总是想制作自己的一款小语言编译器&#xff0c;虽然对技术不是很理解&#xff0c;学的不是很扎实&#xff0c;但还是想着尝试尝试&#xff1b;目前该效果只是初步…

关于安卓ZXing条码识别(一)引入源码

背景 从0-1引入安卓zxing&#xff0c;实现条码识别 环境 win10 as4 jdk8 引入 首先&#xff0c;官方网站&#xff0c;就是源码。链接 选择你要引入的分支&#xff0c;这里博主选择的是最近更新的分支&#xff0c;如下图&#xff1a; 上图中&#xff0c;1和2都需要引入&am…

eNSP模拟器-单臂路由

设备名/VLANIPPC1192.168.10.2/24PC2192.168.20.2/24VLAN10192.168.10.1VLAN20192.168.20.1 交换机LSW1配置&#xff1a; <Huawei>sys # 进入系统视图 Enter system view, return user view with CtrlZ. [Huawei]vlan 10 # 创建vlan10 [Huawei-vlan10]q [Huawei]…

【实战项目】Boost搜索引擎项目

目录 1. 项目的相关背景 2. 搜索引擎的相关宏观原理 3. 搜索引擎技术栈和项目环境 4. 正排索引 vs 倒排索引 - 搜索引擎具体原理 4.1 正排索引 4.2 目标文档进行分词 4.3 倒排索引 4.4 模拟一次查找的过程&#xff1a; 5. 编写数据去标签与数据清洗的模块 Parser 5.1…

2024春招算法打卡-腾讯WXG

大数相乘 class Solution {public String multiply(String num1, String num2) {String ZERO_STR "0";String ONE_STR "1";// 其中一个为0直接返回0if(ZERO_STR.equals(num1) || ZERO_STR.equals(num2)){return ZERO_STR;}// 其中一个为1直接返回另一…

TCP粘包和分包

TCP的粘包和分包是网络通信中常见的问题&#xff0c;特别是在使用TCP协议进行数据传输时。这两个问题都涉及到TCP在传输数据时的工作机制。 粘包&#xff08;TCP数据合并&#xff09; 粘包指的是发送方发送的多个小数据包在传输过程中被TCP协议合并成一个大的数据包接收&…

AI写真,太火了

昨天晚上&#xff0c;AI大佬吴东子直播讲解了AI写真项目&#xff0c;说21点破局星球会准时放出预约链接&#xff0c;结果21点星球直接崩溃了&#xff0c;只能说这个项目太火爆了 经过星球授权&#xff0c;这里把整个项目的SOP截取一部分给到大家&#xff0c;完整的SOP太长了&am…

mysql集群搭建-读写分离

一.前期准备 1.检查是否存在MySQL安装包 执行命令&#xff1a;rpm -qa | grep -i mysql 删除搜索到的MySQL安装包 执行命令&#xff1a;rpm -e --nodeps 搜索到的mysql 2.创建用户 创建用户组: groupadd mysql 创建用户&#xff1a; useradd -g mysql mysql 二.安装MySQL…

GEE:基于ERA5数据集(U和V风速分量)计算风速的幅值和风向

作者:CSDN @ _养乐多_ 本文将介绍使用Google Earth Engine (GEE)平台提供的API加载ERA5月度数据集,该数据集包含了从1979年至今的全球月度气象数据。然后,定义了一个数据计算函数,用于将U和V风速分量转换为风速的幅值和风向。 结果如下图所示, 文章目录 一、核心函数1…