常见web攻击方式
2021-04-25 16:50:06 0 举报
AI智能生成
常见Web攻击方式
作者其他创作
大纲/内容
XSS 跨站脚本攻击
攻击方式
URL参数直接注入(通过js, img, iframe等可跨域类型文件触发 场景: 构造危险链接, 生成短链接)
存储型(存储到数据库, 目标用户打开特定页面触发. 场景: 博客的评论)
危害
劫持前端逻辑
发送请求
偷取网站任意数据(用户资料, coolies)
欺骗用户等
防范手段
转义
请求头添加 x-xss-Protection
CSP 内容安全策略(建立白名单)
Content-Security-Policy: defalut-src 'self' 只允许加载本站资源
Content-Security-Policy: img-src https://* 只允许添加HTTPS 协议图片
Content-Security-Policy:child-src 'none' 不允许加载任何来源框架
黑名单
转义输入输出的内容
白名单
HttpOnly Cookie
CSRF 跨站请求伪造
攻击方式
利用用户已登录的身份, 在用户不知情的情况下, 以用户名字完成非法操作
危害
盗取用户资金, 损害网站声誉
防范手段
禁止地方法网站带Cookie
Refer Check - https 不发送referer
验证码
点击劫持 clickjacking
攻击方式
将需要攻击的网站通过iframe嵌套的方式嵌入自己的网页中, 并将iframe设置为透明, 在页面中透出一个按钮有道用户点击
防范
X-FRAME-OPTIONS
JS 方式
SQL注入
攻击方式
页面输入 1' or '1' = '1
sql 拼接结果: password = '1' or '1'='1'
防御
参数化查询
OS注入
攻击方式
改写npm包, 加入恶意逻辑, npm包执行时会执行逻辑
防御
下载官方包
请求劫持
攻击方式
DNS劫持
防御
升级HTTPS
DDOS
攻击方式
SYN Flood
HTTP Flood
防御
备份网站
HTTP请求连接
高防IP
靠谱运营商
带宽扩容 + CDN
0 条评论
下一页