Web安全的维护

最新推荐文章于 2021-08-11 12:39:13 发布
最新推荐文章于 2021-08-11 12:39:13 发布
阅读量729 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/sharehu/article/details/78147136
本文介绍了Web安全领域的几种常见攻击方式及其防御措施,包括跨站脚本攻击(XSS)、SQL注入、跨站请求伪造(CSRF)及点击劫持等。详细解释了每种攻击的工作原理和防范策略。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Web安全技术攻防手段:

一、跨站脚本攻击------xss攻击

原因:发生的原因是网站将用户输入的内容输出到页面上,在这个过程中可能有恶意代码被浏览器执行。

1.反射型xss:

它是通过诱使用户打开一个恶意链接,服务端将链接中参数的恶意代码渲染到页面中,再传递给用户由浏览器执行,从而达到攻击的目的。

2.持久型xss

持久型XSS将恶意代码提交给服务器,并且存储在服务器端,当用户访问相关内容时再渲染到页面中,以达到攻击的目的,它的危害更大。

3.Cookie劫持

   Cookie中一般保存了当前用户的登录凭证,如果可以得到,往往意味着可直接进入用户帐户,而Cookie劫持也是最常见的XSS攻击(反射)

防御Cookie劫持的一个简单的方法是在Set-Cookie时加上HttpOnly标识,浏览器禁止JavaScript访问带HttpOnly属性的Cookie

X-SS的预防:

1.输入检查

对数据格式做检查比如邮箱格式等等........

2.输出检查

对渲染到HTML中内容执行HtmlEncode,对渲染到JavaScript中的内容执行JavascriptEncode。

二、SQL注入

三、跨站请求伪造(CSRF

操作所需的所有参数都能被攻击者得到,进而构造出一个伪造的请求,在用户不知情的情况下被执行

防御:1验证码检查

      2referer检查

四、点击劫持

   点击劫持是从视觉上欺骗用户。攻击者使用一个透明的iframe覆盖在一个网页上,诱使用户在该网页上操作,而实际点击却是点在透明的iframe页面。

最近面试中经常被问到。。。。。。。。。。

运维安全·Web组件安全·Nginx
不忘初心,护天下安全!
04-11 3309
一、Nginx Nginx (engine x) 是一个高性能的HTTP和反向代理web服务器,同时也提供了IMAP/POP3/SMTP服务。Nginx是由伊戈尔·赛索耶夫为俄罗斯访问量第二的Rambler.ru站点(俄文:Рамблер)开发的,公开版本1.19.6发布于2020年12月15日。 二、安全配置 1.关闭列目录 Nginx默认是不允许列出整个目录的,不过为了安全,最好还是确认这个选项是否真的关闭,否则有可能导致整个Web站点代码泄露。在配置文件中确认(下述都是在Nginx配置文件中确认或配置
Web安全编程实战
03-03
Web安全问题,很多时候会被程序员所忽略,因为他们相信会有专业的运维人员或者安全服务团队帮助他们寻找漏洞,并且指导他们修改这些漏洞。而对于小公司,没有这样专业的人员又怎么办呢?安全漏洞造成了很多不必要的...
如何做服务器安全维护网站安全维护怎么做好
王尘宇的专栏
06-27 422
近期俄罗斯世界杯期间网站挂马,网站劫持事件频发,各中小站长深受其害,近期网友咨询内容比较多的几个问题,网站被劫持了应该怎么办。网站安全维护应该怎么做才好,下面单从几方面来给大家分析一下希望能帮到一些朋友。 ①主机安全维护。主机安全包括主机的安全防御以及主机的安全设置,安全防御可以由软件来解决。服务器行业安全软件做的最好的有:安全狗,护卫神,云锁。...
维护web服务器,web服务器维护
weixin_30762173的博客
08-11 638
web服务器维护 内容精选换一换公网域名解析是基于Internet网络的域名解析过程,可以把人们常用的域名(如www.example.com)转换成用于计算机连接的IP地址(如1.2.3.4)。公网域名解析支持通过直接在浏览器中输入域名,访问网站Web应用程序。云解析服务为您的网站、邮箱服务器等提供公网域名解析服务。公网域名解析可以应用于网站搭建场景。如果您想要搭建一已成功登录鲲鹏代码迁移工具。...
web 服务器安全维护,怎样保护你的web服务器,安全机制你懂多少(一)
weixin_29458017的博客
08-03 765
我们经常所说的web服务器攻击,但是却不知道该怎么使用安全机制来保护,所谓的web服务器攻击主要是指利用Web服务器软件和配置中的漏洞,那么我们来防御的话,主要是针对存在的漏洞再去搭建并且去运行web服务器,那么该怎么去保护你的web服务器呢?这是本文所要向大家进行讲解的,如果感兴趣的朋友们可以仔细的阅读一下,提升自己的系统运维知识!我们可以将Web安全分为两大类:第一:Web服务器的安全性(We...
web安全
test_soy的博客
11-11 1190
定义编辑 随着Web2.0、社交网络、微博等等一系列新型的互联网产品的诞生,基于Web环境的互联网应用越来越广泛,企业信息化的过程中各种应用都架设在Web平台上,Web业务的迅速发展也引起黑客们的强烈关注,接踵而至的就是Web安全威胁的凸显,黑客利用网站操作系统的漏洞和Web服务程序的SQL注入漏洞等得到Web服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更为严重的则是在网页中植
第一章 Web安全概述1
08-03
* 维护商业信誉:Web安全漏洞可能会影响企业的商业信誉,导致客户信任度下降。 2. Web安全威胁 Web安全面临的威胁来自于多方面,包括: * 黑客攻击:黑客可能会使用各种手段攻击Web应用程序,例如SQL注入、跨站...
正确配置与维护Apache安全性设置方法
01-10
一,Apache服务器的介绍 Apache服务器它是Internet网上应用最为广泛的Web服务器软件之一。Apache服务器源自美国国家... 二,Apache服务器的主要安全缺陷 正如我们前言所说尽管Apache服务器应用最为广泛,设计上非常安
Web安全攻防
06-30
无所不能的白帽子维护着网络安全,你是否也想成为他们的一员呢?那就开始努力学习吧! 考虑到部分新手朋友,我们在课程中加入了web相关的基础知识,帮助大家轻松入门。 本教程的特色在于理论和实践相结合,既避免...
Web运维之安全配置指导手册
企业实战系列集 ●●● https://ximenjianxue.blog.youkuaiyun.com
10-31 1689
【背景】 网站运维目前已是作为运维工作中的主要场景,每个企业都有各种业务及网站需要管理,其中安全作为企业业务上线前和生命周期中的持续监测和加固,更是运维工作者面对的主要工作,如何做好安全,为企业安全保驾护航,为业务稳定健康运行,至关重要,本期针对此目的,将手机整理相关网站运维安全知识,为安全运维提供参考。...
网站服务器系统维护安全配置介绍
01-20
1、物理安全   物理安全是指防止意外事件或人为破坏具体的物理设备,如服务器、交换机、路由器、机柜、线路等。机房和机柜的钥匙一定要管理好,不要让无关人员随意进入机房,尤其是网络中心机房,防止人为的蓄意破坏。   2、设置安全   设置安全是指在设备上进行必要的设置(如服务器、交换机的密码等),防止黑客取得硬件设备的远程控制权。比如许多网管往往没有在服务器或可网管的交换机上设置必要的密码,懂网络设备管理技术的人可以通过网络来取得服务器或交换机的控制权,这是非常危险的。因为路由器属于接入设备,必然要暴露在互联网黑客攻击的视野之中,因此需要采取更为严格的安全管理措施,比如口令加密、加载严格的访问列表
高并发Web网站构建和安全防护
01-05
高并发Web网站构建和安全防护,web高并发场景分析
web服务器的维护要点,做好WEB服务器的日常维护必备常识.doc
weixin_30781059的博客
08-05 314
()1 CPUCPU2 taskmgrwindowswuauclt.exe[]svch0st.exe[o0l1]3 administrators4 activeport====[]5 services.mschookAPIHKEY_LOCAL_MACHINE—SYSTEM—CurrentControlSet—Services6 eventvwr.mscID7 exedlldir *.exe...
维护Web系统心得(1)
weixin_30755709的博客
08-18 304
一个Web系统的维护量常超出单机版程序,主要因为其往往是一个具有持续增长的需求驱动。要维护好一个Web系统应具有下列技能和习惯。(1)维护Web系统的良好习惯是充分利用脚本程序(Script)来进行维护。比如在维护数据库时,应在Web系统中编写一些维护程序脚本(ASP/PHP/JSP等),而不是利用数据库终端来进行维护。这样作的主要好处有两点:一可以进行复查,避免误操作;二可以进行增量性维护,对于...
安全防护以及运维相关
一名普通码农的菜地
05-29 573
前言 计算机网络安全是很紧要的一件事。 最近沸沸扬扬的托库什么的让人亚历山大。 目录 nginx跨域 centos安装nginx 使用druid链接pgbouncer时候 unsupported startup parameter: extra_float_digits 数据库连接池中间件-pgbouncer [centos]安全加固 [postgresql]自动备份实践 ...
服务器安全维护
weixin_33859665的博客
12-11 131
电子商务的兴起,使的很多中小企业都拥有了自己的服务器。对内用来建立局域网,提升办公效率;对外建立网站,更为广泛地宣传企业产品和形象,争取更多客源。但是作为网络的核心产品,服务器技术相对复杂,尤其是在病毒肆虐的网络时代,安全问题显得更加突出。现在就提供一些实际工作中总结出的经验,希望能和大家共享,以确保网站服务器安全。一、增强整体网络安全很多网管往往在维护网络安全方面存在这样的误区,认为只要将服务器...
网站安全防护工作
JPshangdexiaofeixia的博客
02-01 927
之所以会出现网站安全方面的问题,一方面是网络技术发展越来越快,各种病毒黑客的技术也越来越高,另自用户和企业厂家防不胜防。一方面也是因为网站的设计者跟多的考虑的是满足用户需求,怎样实现业务,很少考虑网站应用开发过程中所存在的漏洞,这些漏洞在不关注安全代码,设计的人员眼里几乎不可见,大多数网站设计开发者、网站维护人员对网站攻防技术的了解甚少。 常见的网站威胁和攻击手段主要是利用Web服务器的漏洞攻击
互联网安全内容安全及防护
weixin_34015336的博客
07-26 173
网络安全防护是一种网络安全技术,指致力于解决诸如如何有效进行介入控制,以及如何保证数据传输的安全性的技术手段,主要包括物理安全分析技术,网络结构安全分析技术,系统安全分析技术,管理安全分析技术,及其它的安全服务和安全机制策略。防护措施访问控制:对用户访问网络资源的权限进行严格的认证和控制。例如,进行用户身份认证,对口令加密、更新和鉴别,设置用户访问目录和文件的权限,控制网络设备配置的权限,等等。数...
Web应用程序安全测试报告要点解析
知识点八:持续的安全维护 应用程序发布后,安全测试不应该停止。随着应用程序的更新和部署,新的安全漏洞可能会被引入。因此,持续的安全监控、漏洞扫描和定期的安全测试是保持Web应用程序安全的必要手段。同时,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值