ウェブ共通攻撃と防御

その他 2019-11-14 12:43:57 訪問数: null

  A:クロスサイトスクリプティング攻撃 

  省略形:XSS(クロスサイトスクリプティング)、また、クロスサイトスクリプティング攻撃、攻撃のWEBサイトの最も一般的かつ基本的な方法として知られています。攻撃者は、視聴者がこのページを見たときに、スクリプトがユーザーのIDと権限を実行するために、視聴者に固有になり、データはページ上の攻撃コードが含まれて公開します。たとえば、ユーザーのクッキーを取得するために、トロイの木馬を運んで、悪意のあるWebサイトに移動します。非常に有名な文の内部セキュリティリングで:すべての入力は有害です。XSSの脆弱性の大半は、ブラウザで悪意のあるスクリプトの実行結果として、ユーザの入力に対処ではないことになっています。

  XSS攻撃のタイプ:入力ページデータにおける反射型ユーザーの入力ボックスには、データがGETまたはPOSTメソッドによってサーバに送信され、入力データは、URLのクエリ文字列、フォームまたはフォームで一般的であるサービス側であればデータのフィルタリング、またはコード検証、提示データユーザOUTによって直接入力、それは反射型XSSを引き起こし得ます。反射型XSSは、そのダメージの通常小さい範囲は非常に一般的です。

       2.耐久性のあるサーバー側スクリプト悪意のあるユーザー入力がデータベースに格納され、データベースを呼び出すことによってされ検証されていないため、ユーザーが実行すると、通常は、ブラウザ上に提示されたデータは、ページを開いたときに、いつでもユーザーがブラウザを開いて、悪意のあるスクリプトが実行されます。ユーザーがページを開くたびに、悪意のあるスクリプトが実行されますので、比較して非永続XSS攻撃の大きい危険性の耐久性に優れたタイプ。

 主な危険性:ユーザーのすべての種類を盗む能力が改ざん、読書を含む1つの2コントロール企業データを、アカウント、追加、削除企業の機密データの盗難、商業的価値4 5フォース3.重要なビジネス情報の違法転送を送信するために6.コントロール他のサイトを攻撃するために、被害者のマシンにメールで知らせます

   防衛は:原則は、入力フィルタ、防衛は、ユ​​ーザーが入力したデータを信じていないですので、XSSの脆弱性は、原因と厳格なフィルタリングせずにユーザーによって提出されたデータに起因して、出力が符号化されます。

  ユーザーが送信したデータのための1.効果的な検証、唯一の他の入力をフィルタするために、当社の規定の長さや内容の提出を受け付けます。

     機密クッキー情報については2、HttpOnlyのを使用して、ドキュメントオブジェクトが見つかりません。

  エスケープするためにユーザが入力した情報については、3。

 II:クロスサイトリクエストフォージェリ攻撃

  省略形:CSRF(クロスサイトリクエストフォージェリ)は、別の一般的な攻撃です。攻撃者は様々な方法によって要求を偽造するために、ユーザの模倣動作は、ユーザ・データの変更を達成するため、特定のタスクまたはオブジェクトを実行するために、フォームを送信します。偽へのユーザーのID、CSRF攻撃とXSS攻撃を頻繁に行うために会うが、また、このような攻撃が含まれているリンクをユーザーがクリックを誘導するような他の手段を通じて、

  防衛:1.あなたはGET要求タイプを開始できるリンクをユーザーがクリックを攻撃することの難しさを高めるためにPOSTリクエストを使用しました。POSTリクエストは、攻撃者が、多くの場合、Javaのの助けを達成することができる必要がある、比較的困難です。

      2.認証要求、要求が実際にフォームアウト私のユーザーの塗りつぶしで、提出されていることを確認し、よりもむしろ特定の鍛造第三者が、セッション中にトークンを高める情報を参照し、提出された情報が同一人物であることを確認してくださいすることができます。

3:リダイレクト攻撃

  攻撃の一般的な手段「フィッシング」です。フィッシング詐欺師は、通常、リンクがクリックされたときに、ユーザーがユーザーの信頼を詐取する目的を達成し、ユーザーデータを盗むするように、もっともらしい違法ウェブサイトを対象としている、合法的な被害者へのリンクを送信します。この動作を防ぐために、我々は、危険な場所を避けるためにリダイレクトするためのリダイレクトのすべてを調べる必要があります。

   防衛は:ホワイトリストに追加リダイレクトURLへ1.合法的な、ドメイン名以外のホワイトリストをリダイレクトすることを拒否しました。

      2.リダイレクトトークン、認証のためにリダイレクトされ、正当なURLプラストークン、上。

4:SQLインジェクション

  そのような多くのビデオサイトなどで、クエリ文字列を送信するか、Webフォームに挿入されたSQLコマンドによってドメイン名またはページ要求を入力して、最終的には悪質なSQLコマンドを実行するために詐欺のサーバーを達成いわゆるSQLインジェクション、以前に漏れたパスワードのVIPメンバーは、主にWebフォーム経由でクエリ文字嵐を提出し、これらのフォームは、SQLインジェクション攻撃に対して特に脆弱です。

  防衛:1.フォームフィラー、合法性検証フォームの送信は、いくつかの特殊文字をエスケープ。

       データベース権限を最小限に抑える2

おすすめ

転載: www.cnblogs.com/-zmd-/p/11856113.html
おすすめ
ランキング
top、ps -ef、ps auxの違いと内容を詳しく解説
空白のJavaの正規表現のスプリットは/先行していません
四、数据展示组件(2)
Pythonのチュートリアル(Pythonの学習ルート):Pythonの関数のパラメータは、(下)モデルと一致します
20182322 2019-2020-1「データ構造とオブジェクト指向プログラミング」第二の実験の報告書
構造モデル(a)はアダプタモード(アダプタ)
アンドゥテーブルスペース物理ファイルを確立
Django は、外部キーとレポートを書き込むときに mysql マスター/スレーブを実装します 「<ユーザー: Zhu Xinjing>」を割り当てることができません: 現在のデータベース ルーターがこの関係を妨げています
Javaの+セレン+新しい - POI Excelファイルの読み込み、および動作
アルゴリズム leetcode|73. マトリックスのゼロ化 (サビが激しくパンチする)
アーカイブ
もっと
2024-06-10(0)
2024-06-09(0)
2024-06-08(0)
2024-06-07(0)
2024-06-06(0)
2024-06-05(0)
2024-06-04(0)
2024-06-03(1)
2024-06-02(0)
2024-06-01(1)

コードワールド

© 2018 codetd.com