WEB网站常见受攻击方式及解决办法讲解

简介: 系统安全是一个经久不衰的话题,也是一个中大型系统必须考虑的问题,这是一门专门的学问,无数专家学者都在为之努力,今天小编就来向大家介绍一下常见的网站攻击方式以及避免攻击的方案。

系统安全是一个经久不衰的话题,也是一个中大型系统必须考虑的问题,这是一门专门的学问,无数专家学者都在为之努力,今天小编就来向大家介绍一下常见的网站攻击方式以及避免攻击的方案。

 

image.gif编辑

跨站脚本攻击(XSS)

XSS(Cross Site Scripting),跨站脚本攻击。为和层叠样式表(Cascading Style Sheets,CSS)区分开,所以叫XSS,分为反射型和存储型两种(后续文章会介绍到)。

image.gif编辑

这种攻击主要以干扰浏览器显示为主,我们举例一个场景:我们平时都会在网页上面都会评论,如果我们输入的内容是’<script>alert(“你被攻击了”);</script>’,如果这段话被腾讯数据库存储,并且正常输出到页面,那么页面是一个什么效果呢,必定每个人访问到这个留言的时候网页都会出来一个不正常的弹窗提醒语句,这就是XSS攻击。

避免攻击:避免XXS攻击需要我们从代码层面进行规避,对JavaScript标签进行转义后存储,这样浏览器解析的时候才不会出现问题。

SQL注入

和XSS一样,这是一个非常常见的网站攻击注入方式,就是我们平常写SQL的时候不严谨导致的,例如我们需要查询一个用户是不是存在我们数据库里面。

image.gif编辑

如果name输入的是zhangsan,密码输入的是123456正常来看是没有问题的,但是如果我们name输入的是 zhangsan‘ or ‘1’=’1 呢?,上面的语句就变成了。

image.gif编辑image.gif编辑

由于存在or ‘1’= ‘1’那么这个SQL就有查询结果了,就把别人的用户信息查出来了,因此成功实现了SQL注入。

image.gif编辑

避免攻击:常规来说避免SQL注入的方法比较简单,就是不要用SQL拼接的方式去组装查询语句,需要用到占位符和SQL预处理功能,这样会对SQL中的特殊字符如单引号等进行转义,这样就不会存在问题了。而且往往有时候直接拼接的SQL是有风险的,可能特殊字符导致在生产环境的机器报错。

CSRF攻击

CSRF概念:CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,有着不小的安全风险,可以理解为攻击者冒用了您的信息进行各种合法的操作,比如转账、发邮件、删除各种记录等。

image.gif编辑

避免攻击:防止 CSRF 攻击目前来说主要有三种方式:验证 HTTP Referer 字段;在请求地址中添加 token 并验证,在 HTTP 头中自定义属性并验证。

文件上传漏洞

这个也是比较常见的攻击方式,上传文件中上传了一些可执行的文件或者脚本,可能被服务器执行了,可能导致代码数据被盗窃或者被删除。

image.gif编辑

避免攻击:对于文件上传,不能够简单的通过文件名后缀来判断文件类型,一般来说文件的起始的几个字节内容是固定的,我们可以根据这几个字节的内容来确定文件类型,这几个字节也被称为magic number。

重定向攻击

这种在一些钓鱼网站中经常见到,一般会发送给用户一个合法链接,这个链接被用户点击的时候,导向进入一个非法网站,从而达到骗取用户信任、窃取用户资料的目的。

image.gif编辑

避免攻击:一般来说我们需要审核重定向的网址,通过加入黑白名单的方式监控。

Cookie攻击

主要是利用JavaScript能够在当前域名下获取网站cookie的特性来攻击(javascript:alert(doucment.cookie)),一般来说可以配合XSS和CSRF来进行攻击,

image.gif编辑

避免攻击:现在主流浏览器都支持在cookie上加上HttpOnly的属性,这样cookie就无法通过Java Script来取得,如果能在关键cookie上打上这个标记,对cookie的安全性的提高有很大作用。

DoS攻击

拒绝服务攻击(denial-of-service attack, DoS)亦称洪水攻击,这也是网络安全领域不得不提到的一个攻击,主要攻击方式为不断的向目标服务器进行强烈多次的攻击,这种攻击及其消耗服务器的带宽和资源,最终使得服务器资源耗尽而崩塌。

image.gif编辑

避免攻击:这种攻击一般可以通过一些防火墙策略和报警机制来解决,同时配上人为监控。简单的讲可以对访问过多的IP进行封禁。深入一点讲,可以做一些流量清洗方案。采用抗 DDoS 软件,将正常流量和恶意流量区分开。

来自编程社:程序员日常进阶宝典,欢迎关注!

image.gif编辑


相关文章
|
8天前
|
SQL 存储 安全
Web 常见攻击方式及防御方法
【10月更文挑战第25天】Web 安全是一个复杂而重要的领域,攻击者不断寻找新的攻击方法,我们需要不断加强防御措施,提高安全意识,以保障 Web 应用的安全运行。通过采取多种防御手段的综合运用,我们可以有效地降低 Web 攻击的风险,保护用户的信息和财产安全。同时,随着技术的不断发展,我们也需要持续关注和研究新的安全威胁和防御方法,以应对不断变化的安全形势。
97 56
|
7天前
|
安全 前端开发 Java
Web安全进阶:XSS与CSRF攻击防御策略深度解析
【10月更文挑战第26天】Web安全是现代软件开发的重要领域,本文深入探讨了XSS和CSRF两种常见攻击的原理及防御策略。针对XSS,介绍了输入验证与转义、使用CSP、WAF、HTTP-only Cookie和代码审查等方法。对于CSRF,提出了启用CSRF保护、设置CSRF Token、使用HTTPS、二次验证和用户教育等措施。通过这些策略,开发者可以构建更安全的Web应用。
35 4
|
6天前
|
安全 Go PHP
Web安全进阶:XSS与CSRF攻击防御策略深度解析
【10月更文挑战第27天】本文深入解析了Web安全中的XSS和CSRF攻击防御策略。针对XSS,介绍了输入验证与净化、内容安全策略(CSP)和HTTP头部安全配置;针对CSRF,提出了使用CSRF令牌、验证HTTP请求头、限制同源策略和双重提交Cookie等方法,帮助开发者有效保护网站和用户数据安全。
29 2
|
28天前
|
Web App开发 前端开发 JavaScript
Web开发者必收藏的10个实用网站,你还没收藏吗?
将这些网站收藏起来,定期访问,使它们成为您日常工作的一部分,助您在快速发展的 Web 开发领域保持领先。
92 2
Web开发者必收藏的10个实用网站,你还没收藏吗?
|
9天前
|
存储 安全 Go
Web安全基础:防范XSS与CSRF攻击的方法
【10月更文挑战第25天】Web安全是互联网应用开发中的重要环节。本文通过具体案例分析了跨站脚本攻击(XSS)和跨站请求伪造(CSRF)的原理及防范方法,包括服务器端数据过滤、使用Content Security Policy (CSP)、添加CSRF令牌等措施,帮助开发者构建更安全的Web应用。
42 3
|
7天前
|
人工智能 搜索推荐 PHP
PHP在Web开发中的璀璨星辰:构建动态网站的幕后英雄###
【10月更文挑战第25天】 本文将带您穿越至PHP的宇宙,揭示其作为Web开发常青树的奥秘。通过生动实例与深入解析,展现PHP如何以简便、高效、灵活的姿态,赋能开发者打造动态交互式网站,同时不忘探讨其在新时代技术浪潮中面临的挑战与机遇,激发对技术创新与应用的无限思考。 ###
14 1
|
8天前
|
SQL 安全 网络协议
Web 常见攻击方式
【10月更文挑战第25天】这些只是一些常见的 Web 攻击方式,实际上还有许多其他的攻击手段。为了防范这些攻击,需要采取一系列的安全措施,如输入验证、输出编码、安全配置、身份验证等。同时,也需要不断提高用户的安全意识,以减少被攻击的风险。
8 1
WK
|
7天前
|
安全 Java 编译器
C++和Java哪个更适合开发web网站
在Web开发领域,C++和Java各具优势。C++以其高性能、低级控制和跨平台性著称,适用于需要高吞吐量和低延迟的场景,如实时交易系统和在线游戏服务器。Java则凭借其跨平台性、丰富的生态系统和强大的安全性,广泛应用于企业级Web开发,如企业管理系统和电子商务平台。选择时需根据项目需求和技术储备综合考虑。
WK
10 0
|
1月前
|
安全 Linux Shell
Kali渗透测试:使用Metasploit对Web应用的攻击
Kali渗透测试:使用Metasploit对Web应用的攻击
|
2月前
|
缓存 安全 应用服务中间件
Web安全-HTTP Host头攻击
Web安全-HTTP Host头攻击
115 7