xss攻擊
一: 反射型攻擊
將xss**作為url的引數提交給伺服器,伺服器返回的響應中包含該xss**,瀏覽器解析執行該**。
二: 儲存型攻擊
將xss**傳送給伺服器,存在伺服器的資料庫或記憶體中,下次請求頁面會載入xss**
三:dom xss
惡意xss**在客戶端本地執行
xss的危害
1.盜取使用者資訊
2.流量劫持(定位到其他**)
3.dos攻擊
防禦xss
過濾危險節點:style,script,link,img
對使用者的資料進行編碼處理
對cookie設定http-only。(js指令碼無法獲得document.cookie)
csrf攻擊
csrf:全稱跨站請求偽造,是指非授權使用者利用授權使用者的瀏覽器取得目標站點的信任,向目標站點傳送http請求
防範措施
111.驗證碼
要求使用者填寫驗證碼,確保瀏覽器傳送的請求經過使用者確認,問題是使用者的所有請求不能都填驗證碼
222.referer check
用來檢查請求是否來自合法的源
333.token
使用者訪問頁面時服務端會生成乙個token,放在使用者的session、local或cookie中,使用者請求時會附帶上token,服務端收到請求會監測token是否一致,注意token的有效性
SQL注入式攻擊防範措施
sql注入式攻擊 惡意 插入到字串中,然後將該字串傳遞到sql server 的例項以進行分析和執行。任何構成 sql 語句的過程都應進行注入漏洞檢查。詳細請看 http msdn.microsoft.com zh cn library ms161953 sql.90 aspx 防範措施 1 驗證所...
分析 方法建立具體防範措施
分析 方法建立具體防範措施 url www.hacker.com.cn url 防線 隨著計算機網路的發展,網路的開放性 共享性 互連程度隨之擴大。特別是internet的普及,使得商業數字貨幣 網際網路絡銀行等一些網路新業務的迅速興起,網路安全問題顯得越來越重要。目前造成網路不安全的主要因素是在協...
Redis CSRF漏洞分析及防範措施
redis csrf漏洞分析 近日有暴漏了redis的csrf漏洞,同時redis作者在最新發布的3.2.7也進行了修復,本文將對csrf攻擊及如何安全使用redis進行介紹。阿里云云資料庫redis版強制需要密碼訪問,不受該漏洞影響,而對於自建redis使用者可以根據後續的乙個建議措施進行修復。c...