XSS(跨站脚本攻击)
简介:
XSS攻击(Cross Site Scripting)通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常JavaScript,但实际上也可以包括Java、VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。
分类:
- 存储型:攻击者输入一些数据并存入数据库中,其他浏览者看到会被攻击。
- 反射型:将攻击代码放在url地址的请求参数中。
防御方式:
HttpOnly:这个属性可以禁止浏览器页面 Javascript 访问带有 HttpOnly 属性的Cookie,达到防止 XSS 攻击者窃取 Cookie的目的。- 输入输出检查:对输入数据进行过滤和消毒处理,过滤用户输入的任何数据,对一些特殊字符进行转义。
CSRF(跨站请求伪造)
简介:
CSRF(Cross-site request forgery跨站请求伪造,也被称成为“one click attack”或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。可以这样来理解:攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。
防御方式:
- 验证HTTP Referer字段:该字段记录了该HTTP请求的来源地址
- 在请求地址中添加token并验证
- 在HTTP头中自定义属性并验证
- 使用验证码
Http Heads攻击
简介:
凡是用浏览器查看任何WEB网站,无论你的WEB网站采用何种技术和框架,都用到了HTTP协议。
HTTP协议在Response header和content之间,有一个空行,即两组CRLF(0x0D 0A)字符。这个空行标志着headers的结束和content的开始。“聪明”的攻击者可以利用这一点。只要攻击者有办法将任意字符“注入”到headers中,这种攻击就可以发生。
防御方式:
过滤所有的response headers,除去header中出现的非法字符
SQL 注入
简介:
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。
防御方式:
- 基础过滤与二次过滤:对用户输入进行检查,确保数据输入的安全性,在具体检查输入或提交的变量时,对于单引号、双引号、冒号等字符进行转换或者过滤,从而有效防止SQL注入。
- 分级管理:对用户进行分级管理,严格控制用户的权限,对于普通用户,禁止给予数据库建立、删除、修改等相关权限,只有系统管理员才具有增、删、改、查的权限。
- 参数传值:禁止将变量直接写入到SQL语句,必须通过设置相应的参数来传递相关的变量。从而抑制SQL注入。数据输入不能直接嵌入到查询语句中。同时要过滤输入的内容,过滤掉不安全的输入数据。
- 数据库信息加密
- 多层验证
DOS攻击(拒绝服务攻击)
简介:
DOS是Denial of Service的简称,即拒绝服务,造成DoS的攻击行为被称为DoS攻击,其目的是使计算机或网络无法提供正常的服务。
常见DOS攻击方式及防范:
-
SYN Flood攻击
第一种是缩短SYN Timeout时间
第二种方法是设置SYN Cookie,就是给每一个请求连接的IP地址分配一个Cookie,如果短时间内连续收到某个IP的重复SYN报文,就认定是受到了攻击,以后从这个IP地址来的包会被一概丢弃。 -
Smurf攻击
在cisco路由器上配置如下可以防止将包传递到广播地址上:Router(config-if)# no ip directed-broadcast -
Ping of Death
-
泪滴攻击
DDOS攻击 (分布式拒绝服务攻击)
简介:
分布式拒绝服务攻击(Distributed Denial of Service),简单说就是发送大量请求是使服务器瘫痪。DDos攻击是在DOS攻击基础上的,可以通俗理解,dos是单挑,而ddos是群殴
防御方式:
- 增加带宽
- 优化路由及网络结构
- 在系统中加装防火墙系统
- 提高网络管理人员的素质