摸鱼前端的自检(四)浏览器如何防gank?

其他 2020-07-23 11:03:11 阅读次数: 0

浏览器如何防gank?

在面试中我们常常会被问到web攻击,如果预防和处理之类的,确保网站或者网页应用的安全性,是每个开发人员都应该了解的事。这里主要列出集中常见的web攻击方式和防御处理方法。

有兴趣的同学可以去我的github,里面有我的分享的学习过程和blog.
github.com/193Eric

XSS

XSS攻击:跨站脚本攻击(Cross-Site Scripting)
XSS是一种常见的web安全漏洞,它允许攻击者将恶意代码植入到提供给其它用户使用的页面中
XSS分为两个大类:

  • 存储型XSS
    主要是提供了让用户输入数据的接口,比如说评论,留言,表单等。服务器把这类输入存储到数据库里面,当用户访问的时候,从数据库里面读出来,在界面展现出来。攻击者在相关页面输入恶意的脚本数据后,用户浏览此类页面时就可能受到攻击。
    基本流程是:
    恶意脚本输入—》服务器存入数据库—》用户访问界面,从数据库取出数据输出到页面—》受到XSS攻击

  • 反射型XSS
    反射型 XSS 一般是攻击者通过特定手法(如电子邮件),诱使用户去访问一个包含恶意代码的 URL,当受害者点击这些专门设计的链接的时候,恶意代码会直接在受害者主机上的浏览器执行。
    主要是从url上面输入攻击代码,有一些网页,会把url上面带的字符串,当做输出,显示在网页上。
    比如有这么一个网站wwww.baidu.com?msg=error,会在网页上会有一个<div>error</div>显示出出error字符串,如果我输入的是wwww.baidu.com?msg=<script>alert(xss)</script>,就会运行这个代码。

如何预防XSS攻击

最简单的方法就是认为所有用户的输入都是不安全的,把所有的输入都进行一遍特殊字符的过滤,

SQL注入

就是攻击者通过输入sql的查询代码,有些程序不严谨,后台语言sql查询的时候,用的简单字符串拼接。然后程序接收到这段恶意的Sql代码之后,导致原有的查询逻辑被修改,造成严重影响。

比如:
后台的查询用户名是否存在用的这段,select * from user where user_name = ''结果用户输入的user_name是;DROP TABLE user;,直接就把user表给删除了…

如何预防SQL注入

  • 在后台语言中,可以用模板或者预编译的方式,只去字符串,而不是做简单的拼接。

  • 对特殊字符过滤,转义。

DDOS

什么是DDOS?
DDOS:分布式拒绝服务攻击(Distributed Denial of Service),攻击者借助公共网络,将大数量的计算机设备联合起来,向一个或多个目标进行攻击。简单来说dos攻击就是以一个ip地址向另一个ip地址做攻击;DDOS就是多个ip攻击一个ip。

黑客为什么要用DDOS攻击?
DDOS对攻击方来说,消耗也是不少的,很多黑客都是通过自己掌控的肉鸡(中了病毒的电脑),来攻击一个ip,有被杀毒软件查杀的危险。就我来说,我呆在一家区块链公司,经常会受到DDOS攻击,阿里云DDOS防御开启一天又贼贵,黑客一攻击就是几个小时,然后我们会受到一封勒索邮件,一个比特币钱包地址,要我们打一个比特币过去,就停止攻击,…反正处理起来很麻烦

如何预防DDOS攻击

DDoS 防御产品的核心是检测技术和清洗技术,一般来说,硬抗或者买阿里云DDOS防御包吧,小公司自己建立防御体系,太难。

CSRF

CSRF(Cross-site request forgery),中文名称:跨站请求伪造

CSRF 能这么理解,就是攻击者盗用了你的身份信息,以你的名义发送任何请求进行操作。

CSRF怎么攻击的?

说实话,CSRF这个攻击在我认为,是很难得.
CSRF的攻击流程如下:

  • 假如一家银行用以运行转账操作的URL地址如下:http://www.examplebank.com/withdraw?account=AccoutName&amount=1000&for=PayeeName

  • 那么,一个恶意攻击者可以在另一个网站上放置如下代码: <img src="http://www.examplebank.com/withdraw?account=Alice&amount=1000&for=Badman">

  • 如果用户访问了恶意站点,而她之前刚访问过银行不久,登录信息尚未过期,那么她就会损失1000资金。

为什么我说对当前年代很难呢,首先要满足登录两个不同的网站,第二银行和一些涉及钱的地方都会需要短信验证或者资金密码。不是一个cookie能解决的。

如何预防CSRF

  • 检查Referer字段,HTTP请求头里面有这个字段,可以看到网站访问来源于哪个地址。不过只是简单方法,不可否认有些黑客可能修改浏览器的referer字段。

  • 增加token,因为这种攻击方式是通过劫持cookie来办到的,所以添加一个攻击者获取不到的token来做验证是可行的。

猜你喜欢

转载自blog.csdn.net/qq_24073885/article/details/102941041
今日推荐
数学建模Matlab之数据预处理方法
充电桩---ISO15118协议详细介绍
对话Kaldi之父、小米首席语音科学家Daniel Povey:开源环境比金钱和荣誉更吸引我 | AGI技术50人...
Hugging Face全攻略:轻松下载Llama 3模型,探索NLP的无限可能!【实操】
阅读送书抽奖?玩转抽奖游戏,js-tool-big-box工具库新上抽奖功能
百度发布Comate代码知识增强2.0,国内首个支持实时检索智能代码助手
黑客利用扫雷游戏 Python 克隆隐藏恶意脚本,攻击欧洲和美国金融机构
微软对开源字体 Cascadia Code 进行重大更新
好书推荐《ChatGPT原理与架构:大模型的预训练、迁移和中间件编程 》
Baidu Comate 智能编码助手:编程新伙伴,效率新飞跃
AI时代:人工智能大模型引领科技创造新时代
百篇博客 · 千里之行
周排行
Python模块之shelve
勇于承担责任
Hikyuu 1.1.0 发布,量化交易研究框架
字节跳动Java3面“凉凉”~不负韶华,努力复习备战“金三银四”
Linux下静态链接库与动态链接库的区别
spring boot架构改造
怎么理解AOP
文件不同步 --本地和eclipse
在linux配置nginx负载均衡
Linux Shell基础命令
每日归档
更多
2024-05-28(2)
2024-05-27(56)
2024-05-26(6)
2024-05-25(68)
2024-05-24(65)
2024-05-23(9)
2024-05-22(41)
2024-05-21(8)
2024-05-20(36)
2024-05-19(0)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022