本文介绍了XSS攻击的原理和防御方法,包括服务器端过滤和浏览器端识别,同时提及了CSRF攻击的概念,以及SQL注入、文件上传漏洞和DDoS攻击的防御措施。提供了一份网络安全学习资源包,包括学习路线、工具和面试题等内容。
xss攻击(跨站脚本)
是网站应用程序的安全泄露攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。
攻击原理
其特点是不对服务器端造成任何伤害,而是通过一些正常的站内交互途径,例如发布评论,提交含有 JavaScript 的内容文本。这时服务器端如果没有过滤或转义掉这些脚本,作为内容发布到了页面上,其他用户访问这个页面的时候就会运行这些脚本。
防御方法
- 浏览器端主动进行 XSS 识别
- 服务器端对于用户输入的内容进行过滤
CSRF攻击
CSRF 的全称是“跨站请求伪造”,而 XSS 的全称是“跨站脚本”。看起来有点相似,它们都是属于跨站攻击——不攻击服务器端而攻击正常访问网站的用户。
攻击原理
CSRF 顾名思义,是伪造请求,冒充用户在站内的正常操作。我们知道,绝大多数网站是通过 cookie 等方式辨识用户身份(包括使用服务器端 Session 的网站,因为 Session ID 也是大多保存在 cookie 里面的),再予以授权的。所以要伪造用户的正常操作,最好的方法是通过 XSS 或链接欺骗等途径,让用户在本机(即拥有身份 cookie 的浏览器端)发起用户所不知道的请求。
一言蔽之就是冒充用户进行一些操作。
防御方法
1、通过 referer、token 或者验证码来检测用户提交。
2、尽量不要在页面的链接中暴露用户隐私信息。
3、对于用户修改删除等操作最好都使用 post 操作。
4、避免全站通用的 cookie,严格设置 cookie 的域。
SQl 攻击
简称:注入攻击。是发生于应用程序之数据库层的安全泄露。
攻击原理:
用户直接输入 sql 语句,如果应用用的是拼接字符串的方式且没有过滤掉的话,当流程走到数据库部分的时候就会直接执行,等于说数据库的信息直接暴露在用户面前,那还不是想干嘛就干嘛。。。
防御方法
1.、验证并转义用户输入
2、base64编码
3、绑定变量,使用预编语言
4、控制用户的权限,以及做好数据库本身的安全工作
文件上传漏洞
是指网络攻击者上传了一个可执行的文件到服务器并执行。这里上传的文件可以是木马,病毒,恶意脚本或者WebShell (诸如 jsp, php, asp 这些脚本)等
攻击原理
有点像 sql 诸如和 xss 就是变成上传文件了。
防御方法
过滤上传类型:比如上传头像文件的类型是否为图片,大小是不是超过了。
引入第三方:将文件上传到第三方提供地址,服务器只保留一个地址即可。
ddos攻击
DDoS 全称 Distributed Denial of Service,分布式拒绝服务攻击。
攻击原理
就是本来一个服务器最大承受一个G的带宽,这时候一次性来了十个G的请求流量,咋整?服务器要么是陷入无尽的请求等待,要么就直接GG了。
防御方法
1、拼宽带
2、流量清洗或者封 IP
3、CDN 服务
4、花钱买相应的防御服务
如果你对网络安全入门感兴趣,那么你点击这里👉优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
如果你对网络安全感兴趣,学习资源免费分享,保证100%免费!!!(嘿客入门教程)
👉网安(嘿客)全套学习视频👈
我们在看视频学习的时候,不能光动眼动脑不动手,比较科学的学习方法是在理解之后运用它们,这时候练手项目就很适合了。
👉网安(嘿客红蓝对抗)所有方向的学习路线****👈
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
学习资料工具包
压箱底的好资料,全面地介绍网络安全的基础理论,包括逆向、八层网络防御、汇编语言、白帽子web安全、密码学、网络安全协议等,将基础理论和主流工具的应用实践紧密结合,有利于读者理解各种主流工具背后的实现机制。
面试题资料
独家渠道收集京东、360、天融信等公司测试题!进大厂指日可待!
👉嘿客必备开发工具👈
工欲善其事必先利其器。学习嘿客常用的开发软件都在这里了,给大家节省了很多时间。
这份完整版的网络安全(嘿客)全套学习资料已经上传至优快云官方,朋友们如果需要点击下方链接也可扫描下方微信二v码获取网络工程师全套资料【保证100%免费】
扫一扫
648
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
