XSS(Cross Site Scripting)跨站脚本攻击。
1.存储型XSS
黑客主要通过在站点的文本输入区域嵌入脚本标签包裹的恶意代码,然后提交到服务器端,服务器将提交的信息保存后,只要其他人浏览了包含黑客恶意代码的页面后,恶意代码就会执行,可能侵害其他用户的信息。
2.反射型XSS
黑客将一段含有恶意代码的请求包装到某个链接上,然后诱导用户去点击。用户点击后含有恶意代码的请求提交给服务器端,服务器又将该含有恶意代码的请求返回给用户,恶意代码就在客户端执行。
3.DOM型XSS
黑客直接在客户端web资源传输过程中或者用户使用网页的过程中修改Web页面的数据,嵌入恶意脚本,该过程不涉及服务端。
XSS攻击应对措施:
将cookie等敏感信息设置为HttpOnly,不允许通过document,js获取cookie。
启用CSP,内容安全策略,只有在白名单内的内容才能正常运行(JS, Image等)。
在前端以及后端对所有的输入信息做严格的校正,过滤掉不合法的输入,同时转义常用的可能导致恶意脚本嵌入的字符,如尖括号,双引号等字符。
HttpOnly是包含在http返回头Set-Cookie里面的一个附加的flag,所以它是后端服务器对cookie设置的一个附加的属性,在生成cookie时使用HttpOnly标志有助于减轻客户端脚本访问受保护cookie的风险(如果浏览器支持的话)
通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击。
CSRF(Cross Site Request Forgery)跨站请求伪造
跨站请求伪造是指黑客可以冒充用户向目标站点发送请求,从而获取用户信息,篡改用户数据。跨站请求伪造需要满足以下三个条件才能发动。
①目标站点有CSRF漏洞。
②用户登录过目标站点,而且Session还在有效期内。
③用户打开一个第三方站点。
此时第三方站点可以使用用户的Session来伪造请求给目标站点。
CSRF攻击应对措施:
将Session的有效期设置得短一些。
服务端通过请求中的Origin和Referer头字段判断请求的来源,如果请求的来源和目标站点不同源,则大概率是CSRF,服务端拒绝执行该请求。
在执行一些重要的操作的时候,在请求中添加Token验证信息。在页面交互元素中预设好随机
3. SQL注入攻击
拼接SQL查询语句的时候未仔细筛选过滤条件,黑客可以输入畸形的数据来歪曲语义。或者通过屏幕上的报错语句推测SQL查询语句。
SQL注入攻击的应对措施:
禁止目标网站通过动态拼接字符串的方式访问数据库
减少不必要的数据库报错信息的抛出。
过滤掉不必要的SQL保留字比如Where等。
4. 点击劫持攻击
点击劫持攻击实现方式:通过监听鼠标移动,让透明的iframe始终处于用户鼠标下,诱使用户点击看似无害的按钮,实则点击了透明iframe,然后执行一些危险操作。
点击劫持攻击的应对措施:
服务端添加X-Frame-Option这个响应头,这样浏览器就会阻止嵌入的网页的加载。
JS 判断顶层视口的域名是不是和本页面的域名一致,不一致则不允许操作
5. 中间人攻击
中间人攻击可以在HTTPS协议下仍然对通信的信息进行窃听、篡改以及身份伪造。顾名思义,中间人攻击就是黑客同时拦截了客户端和服务端的信息,充当了信息中转站的作用。
首先,在客户端与服务端建立连接时,黑客首先拦截到服务器准备传送给客户端的公钥,然后自己生成一对非对称加密的公私钥。黑客将自己的公钥发送给客户端。
之后客户端接收到黑客公钥后,客户端生成之后通讯所需要用的对称加密密钥,用黑客公钥加密客户端的对称加密密钥,之后传送给服务器。
随后黑客拦截客户端传输的数据,用黑客私钥解密,获取到客户端的对称加密密钥。再用服务器公钥加密该对称加密密钥,传送给服务器。
最后服务器解密获取到对称加密密钥,服务器和客户端就开始只用对称加密密钥进行加密通信,而黑客手上有对称加密的密钥,又可以拦截他们的信息,无论是窃听,篡改消息畅通无阻。
中间人攻击防范措施:
客户端加强对服务端发送来的公钥里的证书的校验,检查证书是否是权威机构颁布的,证书是否还在有效期内,证书的域名与服务端域名是否一致。
客户端也内置一份签名证书,当与服务端建立连接时,首先检测服务端发送来的证书是否和客户端的内置证书一致。
6. 文件上传漏洞
服务器未校验上传的文件,致使黑客可以上传恶意脚本等方式。
防范措施:
前后端都用文件头来检测文件类型,使用白名单过滤
上传后将文件彻底重命名并移动到不可执行的目录下
Web前端网络安全总结_Z_RedBright的博客-CSDN博客_web前端网络安全
本文转自 https://blog.csdn.net/qq_40479037/article/details/129943166,如有侵权,请联系删除。