敏感COOKIE攻击
原理: 攻击者通过JS等客户端脚本获取被攻击者的敏感Cookie信息, 从而达到伪装成被攻击者的目的。
预防手段: 设置敏感CookiehttpOnly属性为true,使敏感cookie只能通过server端来进行访问。
XSS攻击
跨站脚本攻击(Cross Site Scripting)
原理: 此攻击是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript),当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的。比如获取用户的Cookie,导航到恶意网站,携带木马等。
预防手段: XSS攻击的实质是由于用户输入未做HTML字符转义, 导致恶意脚本不是被当做普通字符串来处理的。因此预防关键在于对用户输入进行HTML转义,防止脚本被执行。
jsp标签 默认会对用户输入进行HTML转义, 可解决此问题。
CSRF攻击
跨站请求伪造攻击(Cross-Site Request Forgery)
原理:此攻击实质为会话劫持(Session Hijack)攻击。由于HTTP是无状态的协议,因此HTTP Server是不知道请求是从A网站发送的还是B网站发送的。这会给攻击者在B网站伪造A网站的请求发送,来达到诸如获取用户信息,恶意支付等攻击实施。
预防手段:只要在重要的连接(用户隐私、支付、询盘等)中加入由server端生成的token标识,再由server端判断此token是否存在或正确,即可预防恶意网站伪造会话请求,预防此问题发生。
SQL/EL注入攻击
原理:攻击者通过请求参数拼装SQL语句,达到篡改SQL语句,实现攻击的目的。
预防手段:此攻击原理就是用户输入不是作为字符串,而是作为可执行的sql语句造成的。因此我们只需要将用户输入作为普通字符串即可预防此问题发生。
JDBC使用PreparedStatment或iBatis/MyBatis 使用’#’号,而不是’$’号代理参数都可预防此问题发生。
敏感操作越权攻击
原理:用户私密操作(改密、手机绑定、登录、支付、查看重要数据等)没有进行权限验证。
预防手段:重要操作一定要进行权限判断,防止越权操作。
中间人攻击
原理: 攻击者利用HTTP抓包工具获取用户身份等敏感信息,从而可操作用户,对用户支付, 账户等信息造成破坏。
预防手段:敏感操作使用HTTPS连接,防止敏感数据被截取。服务端要进行效验。
资源恶意轰炸攻击
原理:攻击者通过暴露的请求,恶意访问服务器资源,比如邮件、短信等等操作。
预防手段:服务端需要限制访问次数等手段来控制。
文件路径攻击
原理:攻击者利用暴露出的文件路径可自定义参数,篡改文件路径,以达到访问系统文件,甚至控制系统的目的。
预防手段:如果文件访问路径需要暴露出去,一定要注意控制其访问范围。
私密信息暴露攻击
原理:攻击者利用请求链接中暴露的私密信息,通过猜测、试错、枚举等操作, 达成攻击目的。
预防手段:HTTP请求不要带任何不必要的私密信息,重要数据要加密。
钓鱼网站攻击
原理:对跳转链接url未做判断或验证,导致跳转至钓鱼网站。
预防手段:对跳转的url要进行判断或验证,以防被攻击者利用。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
