跨站点伪造请求 csrf
什么事csrf?攻击者盗用合法用户身份,向服务器方发送请求,对于服务器来说是合法的,却又达到了攻击者所期望的目标。
完成一次csrf攻击需要完成以下两个步骤:
1.登录受信任网站A,并在本地生成cookie
2.在不登录网站A的情况下访问危险网站B
csrf防御策略
1.验证HTTP Referer字段
HTTP的referer字段保存了http的来源地址,受访网站可以验证这个地址是佛合法,如果不合法,则有可能是CSRF攻击,拒绝该请求。但这种方法不是万无一失的,referer的值是有浏览器提供的,我们并不能保证浏览器没有安全漏洞,目前一些方法可以篡改referer值,而且有些用户为了保护自己的隐私可以设置浏览器在发送请求时不在提供referer值
2.在请求地址中添加token并验证
CSRF利用cookie来进行攻击,那么我们可以在请求中添加不可伪造的信息并不存在于cookie中,可以在请求中以参数形式随机产生一个token,并在服务器建立一个拦截器验证这个token
3.在HTTP请求头中自定义属性并验证
解决了上种方法在请求中加入token的不便,同时,通过XMLHttpRequest请求的地址不会被记录到浏览器的地址栏,也不担心token会透过referer泄露到其它网站去
2XSS跨站脚本攻击
1.反射型css,出现在URL中作为参数提交到服务器,服务器解析并相应,响应结果中包含css代码,最后浏览器解析执行
2.存储型xss,攻击者输入恶意的脚本数据存入数据库,当其他用户读取时,用户浏览器解析并执行这段脚本
防御xss攻击策略
1.对用户输入的数据进行过滤,比如script标签
2.保护cookie,对重要的cookie设置httpOnly,防止客户端通过document.cookie获取cookie
3.SQL注入攻击者向服务器提交恶意的sql代码,导致源程序执行恶代码的sql
防止SQL注入
1.在JAVA中使用预编译PreparedStatement
2.对数据库特殊字段进行转义处理并编码转换
3.在用户发布前,使用专业的sql注入检测工具进行检测,及时发现和修补sql注入漏洞
4.分布式拒绝服务攻击(DDOS )
通过大量合法的请求占用大量网络资源,已达到瘫痪网络的目的
指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDos攻击,从而成倍的提高拒绝服务供给的威力。通常,攻击者使用一个偷窃账号讲、将ddos主控程序安装爱一个计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术,主控程序在几秒内激活成百上千次代理程序的运行。
攻击现象
1.被攻击主机上有大量等待的TCp连接
2.网络中充斥着大量的无用数据包
3.源地址为假 制造高流量无用数据,造成网络拥塞,是主句无法正常和外界通讯
4.利用受害者主机提供的传输协议上的缺陷反复告诉的发出特定的服务请求,是主机无法处理所有正常请求
5.严重是会造成系统死机
攻击特点
分布式拒绝服务攻击采取的攻击手段就是分布式的,在攻击模式中
攻击分类
按照tcp/ip协议的层次可将ddos攻击氛围基于arr的攻击。基于icmp的攻击、基于ip的攻击、基于udp的攻击、基于tcp的攻击和基于应用层的攻击
主流3种ddos攻击
1、SYN/ACK Flood攻击:这种攻击方法是经典最有效的ddos方法,课通杀