常见的网络攻击及解决方案(附源码)

最新推荐文章于 2025-07-03 09:47:58 发布
最新推荐文章于 2025-07-03 09:47:58 发布
阅读量6.3k 收藏 13
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 计算机网络 文章标签: 网络攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_39816673/article/details/89788764

简介

作为前端攻城狮,web安全是每个开发人员必须了解的,这也是面试经常会被问到的问题,本文我就将我所了解的常见攻击方式以及预防,和大家做个分享,如有不对的地方,欢迎大神指导。
首先,浏览器的同源策略(这个我在之前跨域的文章中有讲,有不明白的朋友可以先看下那篇文章)是浏览器安全的基础,许多客户端脚本攻击,都需要遵顼这一法则,因此理解同源策略对于客户端攻击有着重要意义,一旦同源策源出现漏洞被绕过,将带来非常严重的后果,很多基于同源策源制定的安全方案都将失去效果,那么常见的Web攻击有哪些呢?如下所示

  • XSS
    • DOM Based
    • 存储型
    • 反射型
  • CSRF
  • 点击劫持

以上就是常见的客户端脚本的几种攻击方式,当然服务端也存在安全问题的,由于我对服务端不是很熟悉,所以这里就不介绍了~~

XSS攻击

XSS(Cross Site Script)跨站脚本攻击,如字名,字母首拼明明是CSS,为什么叫XSS呢,这里是因为为了和咱们的伙伴CSS做个区分,所以用XSS来表示跨站脚本攻击,通常XSS是指黑客通过“HTML注入”篡改了网页,插入了恶意的代码,从而在用户浏览网页时,控制用户浏览器的一种攻击,常见的有DOM Based,存储型,反射型。

DOM Based XSS

通过修改页面的DOM节点形成的XSS,称之为DOM Based XSS,如下代码:
前端代码

    <div id="content"></div>
    <input type="text" id="text">
    <button onclick="test()">点击</button>
    <script>
        function test(){
   
   
            var str=document.getElementById("text").value;
            document.getElementById("content").innerHTML=`<a href='${
     
     str}'>testLink</a>`
        }
    </script>

服务端:

这里我是用node搭的站点

const express = require("express");

const expressArtTemplate=require('express-art-template')

const bodyParser = require('body-parser');

const app = express()

app.engine('html', expressArtTemplate);

app.use(bodyParser.urlencoded({
   
    extended: false }))

app.use(bodyParser.json())

app.get("/", (req, res) => {
   
   
   res.render("DomBased.html")
})
app.listen("1596", () => {
   
   
    console.log("监听成功.....")
})

在test函数中,修改了页面DOM的节点,通过innerHTML把一段用户数据当作html写入到页面当中,这就造成了DOM Based XSS。
然后这时候再input框输入' onclick=alert('xss') //,首先用单引号闭合掉href的第一个单引号,然后插入一个onclick事件,最后再用注释符”//“注释掉第二个单引号,然后点击这个生成的链接,效果如下:
在这里插入图片描述
这里还有第二种情况,就是闭合掉a标签,插入一个img标签,利用onerror触发。
input输入'> <img src=# onerror=alert('xss') /><'
DOM节点就变成了如下:
在这里插入图片描述
结果效果如下:
在这里插入图片描述

存储型XSS

存储型XSS会把用户用户输入的数据“存储”到服务端,这种xss具有很强的稳点性,比较常见的场景就是黑客写一篇含有恶意代码的博客,那么文章发表后,所有访问的用户都会在他们的浏览器执行这段代码,因为那一段恶意的代码已经被黑色保存在了服务端,所以这种XSS攻击就叫做“存储型XSS”,存储型XSS也叫做“持久型XSS”,因为从效果上来说,它存在的时间比较长。

这里我是用node最基本的写法模拟了很简单的例子,因为最基本的写法是没有过滤XSS攻击的

客户端代码

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <meta http-equiv="X-UA-Compatible" content="ie=edge">
    <title>Document</title>
    <link rel="stylesheet" href="../node_modules/_bootstrap@3.4.1@bootstrap/dist/css/bootstrap.min.css">
</head>
<body>
    <!--发表
最低0.47元/天 解锁文章

200万优质内容无限畅学
TA0002 Execution 执行
b10d9的博客
05-08 272
战术目的 Execution战术目的主要是在目标系统上执行恶意命令。该战术相关技术通常与其他战术技术相互关联。 利用命令和脚本解释器 操作系统通常自带有命令和脚本解释器,如Windows的CMD和powershell,以及跨平台的解释器,如python、JavaScript等。攻击者可以利用这些命令和脚本解释器执行恶意命令、脚本以及二进制文件,达到攻击目的。常见的解释器有: 1)powershell 2)AppleScript 3)Windows command shell 4)unix
网络攻击类代码
12-30
网络攻击类代码#include #include #include #include #define SEQ 0x28376839 #define NUM 7//反射服务器的个数 #define FAKE_IP "192.168.0.6" //伪装IP的起始值,本程序的伪装IP覆盖一个B类网段 #define STATUS_FAILED 0xFFFF //错误返回值 typedef struct _iphdr //定义IP首部 { unsigned char h_verlen; //4位首部长度,4位IP版本号 unsigned char tos; //8位服务类型TOS unsigned short total_len; //16位总长度(字节) unsigned short ident; //16位标识 unsigned short frag_and_flags; //3位标志位 unsigned char ttl; //8位生存时间 TTL unsigned char proto; //8位协议 (TCP, UDP 或其他) unsigned short checksum; //16位IP首部校验和 unsigned int sourceIP; //32位源IP地址 unsigned int destIP; //32位目的IP地址 }IP_HEADER;
python网络攻击代码_Python-python网络编程写arp攻击代码
weixin_39771987的博客
11-24 752
from scapy.all import ARP,send,arpingimport sys,re,random,timestdout=sys.stdoutipIPADDR="192.168.1.102"网关gateway_ip="192.168.1.1"tmp=[]伪造网关mac地址for i in range(0,6):tmp.append(str("%02x"%random.randint...
网络安全-跨站脚本攻击(XSS)的原理、攻击及防御,非常详细,从零基础到精通,收藏这篇就够了!
最新发布
Libra1313的博客
07-03 711
跨站脚本攻击(全称Cross Site Scripting,为和CSS(层叠样式表)区分,简称为XSS)是指恶意攻击者在Web页面中插入恶意javascript代码(也可能包含html代码),当用户浏览网页之时,嵌入其中Web里面的javascript代码会被执行,从而达到恶意攻击用户的目的。XSS是攻击客户端,最终受害者是用户,当然,网站管理员也是用户之一。XSS漏洞通常是通过php的输出函数将javascript代码输出到html页面中,通过用户本地浏览器执行的,所以xss漏洞关键就是。
[转贴]去年1月25日全球网络受攻击的源代码
编程资料大全
07-04 907
/*&lt;?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" /&gt; * &lt;?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" /&gt;&lt;chsdate w:st="on" isro...
网络渗透技术源码,不错的好资源
04-27
网络渗透技术源码,带大家领略网络技术核心,是学习网络攻防很好的资源!还没有的赶紧下载,所需积分很少。
网络攻击与防御
03-04
主要内容:网络攻击与防御 网络攻击与防御概览 概览、网络基础与协议 网络基础与协议、探查技术 探查技术、扫描技术 扫描技术、使用应用和操作系统攻击获取访问权 使用应用和操作系统攻击获取访问权、络攻击获取访问权 使用网络攻击获取访问权、拒绝服务攻击 拒绝服务攻击、维护访问权与控制系统 维护访问权与控制系统、隐藏踪迹 隐藏踪迹。
网购商城系统源码 积分兑换商城系统源码 独立后台教程.zip
08-20
这种源码通常由专业开发团队编写,旨在为商家提供一个可定制、可扩展的电子商务解决方案。积分兑换商城系统源码则是其中的一个重要模块,允许用户通过在平台上积累的积分来换取商品或服务,从而增加用户的黏性和购物...
最新搭建仿资源之家7B2-wp主题搭建,源码+搭建教程+一键采集(自动转存)
01-18
这份“最新搭建仿资源之家7B2-wp主题搭建,源码+搭建教程+一键采集(自动转存)”的指南,旨在为初学者提供一个从零开始,搭建功能全面的资源下载站点的完整解决方案。它不仅提供了完整的源码,这些源码是经过精心...
H5盲盒商城源码系统在线开盲盒系统开源完整版盲盒搭建教程.zip
07-02
文档中通常会详细解释每个环节,包括可能出现的问题及解决方案,确保新手也能按照指南进行操作。 在实际应用中,盲盒系统的安全性、稳定性以及用户体验是关键。因此,开发者需要关注源码的安全防护,防止SQL注入、...
二级域名分发系统PHP源码-安装教程.zip
05-25
二级域名分发系统是一种基于PHP编程语言开发的软件解决方案,用于自动管理和分配二级域名。这个系统可以帮助网站管理员轻松地为用户提供个性化或特定功能的二级域名,例如子站点、用户个人空间或其他服务。在这个"二...
【内网渗透】网络设备漏洞
ewii12567的博客
01-10 1462
简介:提到网络设备大家应该都不陌生,不论是小型局域网,还是公司办公网等,只要是涉及网络的都会有网络设备的存在。网络设备包括中继器、网桥、路由器、网关、防火墙、交换机等设备,在内网攻击中,我们不仅要对操作系统、数据库等进行攻击,还要对网络设备进行漏洞攻击,在这一节主要介绍路由器、交换机和安全设备的一些常见漏洞,让大家能够掌握更多的内网攻击攻击面。1、路由器漏洞说明:随着信息时代的到来,路由器是内部网络中必不可少的设备。如果路由器存在漏洞,这将大大影响整个网络系统的安全性,同时也对用户的隐私造成极大威胁。
常见网络攻击详细分析
09-04
常见网络攻击详细分析:网络攻击步骤、预攻击探测、漏洞扫描(综合扫描)、木马攻击、拒绝服务攻击、欺骗攻击、蠕虫病毒攻击、其他攻击。详细描述请见文档。
[渗透测试]—5.1 网络设备的安全漏洞
Andy0214的专栏
06-27 7372
在这一章节中,我们将重点讨论网络设备(如路由器、交换机等)的安全漏洞,以及如何进行网络设备的渗透测试。请放心,我们会尽量讲得详细、通俗易懂,并提供尽可能多的实例。
网络/Network - 网络安全 - 常见web攻击与防护
"代码"的日常搬运
09-04 1982
网络世界, 没有所谓的安全, 任何系统都存在漏洞, 只要时间足够以及具备值得被攻破的价值. 就会被攻击.攻与防之间,本来就没有绝对的安全。我们能做的就是,尽量提高攻击的成本。有时有些方案虽然有漏洞,但是实现起来足够简单,但是并不会过度影响业务性能(比如响应时间)。所以,权衡安全性、开发成本、对系统性能的影响,选择比较折中、比较合理的方案更为重要
网络设备常见漏洞与解决方法
weixin_48579910的博客
07-11 2735
网络设备是网络安全的重要组成部分,面临各种安全漏洞,包括默认凭证、固件漏洞、配置错误、未授权访问和各种协议攻击。通过实施定期更新固件、强认证和加密、限制远程管理、配置最小权限、启用日志和监控以及定期安全审计等防护措施,可以有效提升网络设备的安全性,防范各种安全威胁,保护网络基础设施和数据的安全。通过实施上述具体的解决方法,可以有效地防范网络设备的常见安全漏洞。定期更新设备固件、配置强认证和加密、限制远程管理访问、配置最小权限、启用日志和监控以及定期进行安全审计,是确保网络设备安全的重要措施。
网络设备之分配net_device结构
weixin_30824277的博客
09-15 363
注册网络设备时,会调用pci_driver->probe函数,以e100为例,最终会调用alloc_netdev_mqs来分配内存,并且在分配内存后调用setup函数(以太网为ether_setup)初始化二层地址等信息,这里主要分析alloc_netdev_mqs函数,以及ether_setup函数: e100_probe----->alloc_etherdev----->a...
Linux Netfilter 防火墙模块爆新漏洞攻击者可获取root权限
smellycat000的专栏
03-15 465
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士专栏·供应链安全数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值