type="text"
name="name"
value="">
當輸入的內容為:
"/>
alert("hello")
script>
最終的效果為:
type="text"
name="name"
value=""/>
alert("hello")
script>">
note:xss攻擊的本質就是利用了網頁的標籤,從而做手腳。防止的辦法就是對使用者輸入的資訊進行轉義或者限制使用者輸入非法字元。
csrf(cross site request forgery)跨站點請求偽造。顧名思義就是非法使用者偽裝成使用者來進行一些列de操作。
csrf的原理如下圖:
csrf防禦:
csrf重點是非法使用者來冒充使用者從而進行的一些列操作,那我們可以用一些手段來防止非法使用者來冒充。
1. 把cookie設定為httponly。從而防止其他應用讀取cookie資料。
2. 通過client端傳送的token和service端的token進行對比。一致則認為是同乙個使用者。反之,則認為是偽裝使用者。
3. 通過簡訊或者郵件的驗證碼來驗證。
4. 通過http的head中的refer欄位的資料來判斷是否來合法的**。
sql注入是通過sql語句來實現對資料進行操作,包括修改資料,刪除資料,刪除表等各種惡意的行為。
舉個例子:
比如乙個惡意使用者登入某**的首頁,此時伺服器需要去資料庫中查詢是否有該使用者的資訊,有該使用者的資訊登入,沒有則拒絕登入。
比如執行的sql為:
select * from usertable where username='' and pwd=''
惡意使用者輸入的密碼為:
';drop table aaa;(假如有aaa表)
最後的sql為:
select * from usertable where username='' and pwd='';drop table aaa;
這樣會刪除資料庫找中的aaa表。
防止惡意上傳檔案:
很多檔案型別,對於開始的幾個位元組是能夠判斷出是哪類檔案(不能根據檔案的字尾名來判斷),這幾個位元組也被叫做 魔數(magic number)。
把上傳的檔案進行縮放,從而破壞上傳檔案的二進位制可執行檔案的結構,從而阻止惡意檔案的執行。可以使用imagemagick來對進行縮放。
談到ddos就想起來我當年**錘子堅果1的發布會,當準備購買的時候導致錘子官網發生了癱瘓造成無法購買的情況,後來官方宣稱錘子官網遭受到了ddos攻擊。
ddos(distributeddenialofservice)分布式拒絕服務。通俗點講就是用各種手段消耗伺服器資源,從而導致伺服器反應遲緩甚至癱瘓。
syn flood
這個攻擊是利用了tcp的三次握手,利用第三次握手伺服器收不到客戶端返回的確認連線資訊(不存在的ip所以收不到)。tcp的異常處理一般在這種情況下會嘗試多連線幾次,從而導致伺服器維護大量的半連線,導致伺服器消耗資源嚴重。
dns query flood
常見的web攻擊手段
xss 跨站指令碼攻擊 當使用者在表達輸入一段資料後,提交給服務端進行持久化。如果此使用者輸入的是一段指令碼語言,而服務端 使用者輸入的資料沒有經過轉碼 校驗等就存入了資料庫,在其他頁面需要展示此資料時,就會執行此使用者輸入的語言。簡單來說,js的強大不用我來解釋吧 對使用者輸入的資訊進行轉義,例如...
常見web攻擊手段總結
xss 就是攻擊者在 web 頁面中插入惡意指令碼,當使用者瀏覽頁面時,促使指令碼執行,從而達到攻擊目的。xss 的特點就是想盡一切辦法在目標 上執行第三方指令碼。舉個例子。原有的 有個將資料庫中的資料顯示到頁面的上功能,document.write data from server 但如果伺服器沒...
常見十大web攻擊手段
目前常用的針對應用漏洞的攻擊已經多達幾百種,最為常見的攻擊為下表列出的十種。十大攻擊手段 應用威脅 負面影響 後果跨 指令碼攻擊 標識盜竊,敏感資料丟失 黑客可以模擬合法使用者,控制其帳戶。注入攻擊 通過構造查詢對資料庫 ldap 和其他系統進行非法查詢。黑客可以訪問後端資料庫資訊,修改 盜竊。惡意...