Métodos comunes de ataque web y defensas correspondientes

Others 2021-03-07 02:59:20 views: null

Ataque web

XSS (ataque de secuencia de comandos entre sitios)

Introducción:

El ataque XSS (Cross Site Scripting) generalmente se refiere al uso de lagunas que quedan durante el desarrollo web para inyectar códigos de instrucciones maliciosos en páginas web a través de métodos inteligentes, de modo que los usuarios puedan cargar y ejecutar programas web creados maliciosamente por atacantes. Estos programas web maliciosos suelen ser JavaScript, pero de hecho también pueden incluir Java, VBScript, ActiveX, Flash o incluso HTML simple. Una vez que el ataque tiene éxito, el atacante puede obtener diversos contenidos, incluidos, entre otros, permisos superiores (como realizar algunas operaciones), contenido web privado, sesiones y cookies.

clasificación:

  • Tipo de almacenamiento: el atacante ingresa algunos datos y los almacena en la base de datos, otros espectadores serán atacados cuando los vean.
  • Reflectante: coloque el código de ataque en el parámetro de solicitud de la dirección URL.

Método de defensa:

  • HttpOnly: Este atributo puede prohibir que Javascript de la página del navegador acceda a las cookies con el atributo HttpOnly, para evitar que los atacantes XSS roben las cookies.
  • Inspección de entrada y salida: filtre y desinfecte los datos de entrada, filtre cualquier entrada de datos por parte del usuario y escape algunos caracteres especiales.

CSRF (falsificación de solicitud entre sitios)

Introducción:
CSRF (Falsificación de solicitud entre sitios), también conocido como "ataque con un clic" o sesión de conducción, generalmente abreviado como CSRF o XSRF, es un uso malintencionado de sitios web. Se puede entender de la siguiente manera: atacante Apropiación indebida de su identidad y envío una solicitud maliciosa en su nombre. Esta solicitud es completamente legal para el servidor, pero ha completado una operación esperada por el atacante, como enviar correos electrónicos, enviar mensajes en su nombre o robar su cuenta, agregar administradores del sistema, incluso comprar bienes , transferencias de moneda virtual, etc.

Método de defensa:

  • Verificar el campo Referente HTTP: este campo registra la dirección de origen de la solicitud HTTP
  • Agregue el token a la dirección de solicitud y verifique
  • Personalice los atributos en los encabezados HTTP y verifique
  • Usar código de verificación

Ataque de Http Heads

Introducción:
Cualquiera que use un navegador para ver cualquier sitio web WEB, sin importar qué tecnología y marco adopte su sitio web WEB, todos usan el protocolo HTTP.
En el protocolo HTTP, hay una línea en blanco entre el encabezado de respuesta y el contenido, es decir, dos conjuntos de caracteres CRLF (0x0D 0A). Esta línea en blanco marca el final de los encabezados y el comienzo del contenido. Un atacante "inteligente" puede aprovechar esto. Siempre que el atacante tenga una forma de "inyectar" caracteres arbitrarios en los encabezados, este tipo de ataque puede ocurrir.

Modo de defensa:
filtrar todo response headers, eliminar los caracteres ilegales que aparecen en el encabezado

inyección SQL

Introducción: la
inyección SQL significa que la aplicación web no juzga la legalidad de los datos de entrada del usuario o no filtra estrictamente. El atacante puede agregar declaraciones SQL adicionales al final de la declaración de consulta predefinida en la aplicación web, en el administrador. Implementar sin saberlo operaciones ilegales, con el fin de engañar al servidor de la base de datos para que realice consultas arbitrarias no autorizadas, obteniendo así la información de datos correspondiente.

Método de defensa:

  • Filtrado básico y filtrado secundario : Verifique la entrada del usuario para garantizar la seguridad de la entrada de datos. Al verificar la entrada o las variables enviadas, convierta o filtre caracteres como comillas simples, comillas dobles, dos puntos, etc., para prevenir eficazmente la inyección de SQL.
  • Gestión jerárquica : realiza una gestión jerárquica de usuarios y controla estrictamente los permisos de los usuarios. Para los usuarios normales, está prohibido otorgar permisos de creación, eliminación y modificación de bases de datos. Solo el administrador del sistema tiene los permisos para agregar, eliminar, modificar y verificar.
  • Valor de paso de parámetro : está prohibido escribir variables directamente en sentencias SQL, y las variables relevantes deben pasarse estableciendo los parámetros correspondientes. Para suprimir la inyección SQL. La entrada de datos no se puede incrustar directamente en la declaración de consulta. Al mismo tiempo, es necesario filtrar el contenido de entrada y filtrar los datos de entrada no seguros.
  • Cifrado de la información de la base de datos
  • Verificación multicapa

Ataque DOS (ataque de denegación de servicio)

Introducción:

DOS es la abreviatura de Denial of Service, es decir, denegación de servicio. Los ataques que causan DoS se denominan ataques DoS y su propósito es hacer que las computadoras o redes no puedan brindar servicios normales.

Métodos comunes de ataque y prevención de DOS:

  • Ataque SYN Flood El
    primer método es acortar el tiempo de espera de SYN.
    El segundo método es configurar la cookie SYN , que consiste en asignar una cookie a cada dirección IP que solicita una conexión. Si se reciben paquetes SYN repetidos de una determinada IP en una corto período de tiempo, luego se determina que está bajo ataque, y todos los paquetes de esta dirección IP se descartarán en el futuro.

  • Ataque pitufo
    Configure lo siguiente en el enrutador cisco para evitar que el paquete se entregue a la dirección de transmisión: Enrutador (config-if) # sin transmisión IP dirigida

  • Ping de la muerte

  • Ataque de lágrima

Ataque DDOS (ataque distribuido de denegación de servicio)

Introducción:

Denegación de servicio distribuida (Denegación de servicio distribuida), en definitiva, consiste en enviar una gran cantidad de solicitudes para paralizar el servidor. El ataque DDos se basa en el ataque DOS, que se puede entender de manera popular: Dos es un mano a mano, mientras que ddos ​​es una pelea grupal.

Método de defensa:

  • Aumentar el ancho de banda
  • Optimice el enrutamiento y la estructura de la red
  • Instale un sistema de firewall en el sistema
  • Mejorar la calidad del personal de gestión de la red.

Supongo que te gusta

Origin blog.csdn.net/PILIpilipala/article/details/114434097
Recomendado
Clasificación
Diario
Más
2024-05-28(0)
2024-05-27(1)
2024-05-26(1)
2024-05-25(0)
2024-05-24(13)
2024-05-23(34)
2024-05-22(10)
2024-05-21(34)
2024-05-20(5)
2024-05-19(0)

Code World

© 2018 codetd.com