如何做公司网站简介,石家庄百度seo,wordpress做动漫网站,网络营销策划方案范文一、跨站脚本攻击XSS?
XSS就是通过在用户端注入恶意的可运行脚本#xff0c;若服务端对用户的输入不进行处理#xff0c;直接将用户的输入输出到浏览器#xff0c;然后浏览器将会执行用户注入的脚本。 获取用户的输入#xff0c;不用innerHtml,用innerText; 对用户的输入…一、跨站脚本攻击XSS?
XSS就是通过在用户端注入恶意的可运行脚本若服务端对用户的输入不进行处理直接将用户的输入输出到浏览器然后浏览器将会执行用户注入的脚本。 获取用户的输入不用innerHtml,用innerText; 对用户的输入进行过滤如对 ’ /等进行转义。
二、什么事CSRF攻击
CSRFCross-Site Request Forgery即跨站请求伪造攻击。是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。可以简单的理解为攻击者可以盗用你的登陆信息以你的身份模拟发送各种请求对服务器来说这个请求是完全合法的但是却完成了攻击者所期望的一个操作比如以你的名义发送邮件、发消息盗取你的账号添加系统管理员甚至于购买商品、虚拟货币转账等。
流程
1、用户C打开浏览器访问受信任网站A输入用户名和密码请求登录网站A2、在用户信息通过验证后网站A产生Cookie信息并返回给浏览器此时用户登录网站A成功可以正常发送请求到网站A3、用户未退出网站A之前在同一浏览器中打开一个TAB页访问网站B4、网站B接收到用户请求后返回一些攻击性代码并发出一个请求要求访问第三方站点A5、浏览器在接收到这些攻击性代码后根据网站B的请求在用户不知情的情况下携带Cookie信息向网站A发出请求。网站A并不知道该请求其实是由B发起的所以会根据用户C的Cookie信息以C的权限处理该请求导致来自网站B的恶意代码被执行
条件
1 . 用户已经登录了站点 A并在本地记录了 cookie2 . 在用户没有登出站点 A 的情况下也就是 cookie 生效的情况下访问了恶意攻击者提供的引诱危险站点 B (B 站点要求访问站点A)。3 . 站点 A 没有做任何 CSRF 防御
防御
检测CSRF漏洞最简单的方法就是抓取一个正常请求的数据包去掉Referer字段后再重新提交如果该提交还有效那么基本上可以确定存在CSRF漏洞。
三、什么是DoS、DDoS攻击
DOS: (Denial of Service),翻译过来就是拒绝服务,一切能引起DOS行为的攻击都被称为DOS攻击。最常见的DoS攻击就有计算机网络宽带攻击、连通性攻击。DDoS: (Distributed Denial of Service),翻译过来是分布式拒绝服务。是指处于不同位置的多个攻击者同时向一个或几个目标发动攻击或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击。常见的DDos有SYN Flood、Ping of Death、ACK Flood、UDP Flood等。
1. UDP Flood: 利用大量UDP小包冲击DNS服务器
2. SYN Flood: 利用伪造的IP地址向被攻击端发出请求而被攻击端发出的响应 报文将永远发送不到目的地那么被攻击端在等待关闭这个连接的过程中消耗了资源
3. Ping of Death: 故意发送大于65535字节的ip数据包给对方服务器收到后不知道该做什么
4. ACK Flood: 发送不合法的ACK包当攻击者发包速率很大的时候主机操作系统将耗费大量的精力接收报文、判断状态同时要主动回应RST报文正常的数据包就可能无法得到及时的处理四、日常有哪些攻击手段以及相应的防护措施
1. 分布式拒绝服务攻击DDoSDistributed Denial of Service 描述通过大量恶意流量使服务器或网络资源不可用。 Volumetric Attacks容量型攻击
这类攻击试图耗尽目标网络的带宽例如通过UDP洪泛UDP flood或ICMP洪泛ICMP flood。Protocol Attacks协议攻击
这些攻击目标是网络层或传输层的协议比如SYN洪泛攻击SYN flood或Ping of Death旨在消耗目标系统的处理能力。Application Layer Attacks应用层攻击
针对特定应用程序的攻击如HTTP洪泛攻击模仿正常用户行为但意图耗尽应用资源。防范使用DDoS防护服务如Cloudflare或AWS Shield、配置适当的网络规则来过滤流量、保持冗余网络和资源。
2. SQL注入
描述攻击者在SQL查询中注入恶意代码从而控制数据库。防范使用参数化查询、限制数据库权限、定期审计SQL查询。
3. 交叉站点脚本XSSCross-Site Scripting 描述在用户浏览器上执行非经请求的脚本窃取信息或者仿冒用户。 存储型 XSS (Stored XSS) 存储型 XSS 攻击发生时恶意脚本被永久地存储在目标服务器上例如在数据库、消息论坛、访客日志、评论区等。当其他用户浏览到含有恶意脚本的页面时就会受到攻击。反射型 XSS (Reflected XSS) 反射型 XSS 发生时恶意脚本并不会存储在服务器上而是通过用户点击一个恶意链接或提交表单触发的。该恶意脚本通常作为请求的一部分发送到服务器端然后服务器端将其作为响应的一部分返回并在用户的浏览器上执行。 后果 盗取用户的 cookies 和会话令牌。对用户界面进行篡改。 防范对用户输入进行过滤和转义、设置HTTPOnly和Secure标志的Cookies、内容安全策略CSP。
4. 会话劫持和固定会话攻击 描述攻击者尝试截获或接管用户的会话令牌来仿冒用户。 操作方式 监听不安全的网络流量来捕获未加密的会话token。使用XSS攻击将用户的会话cookie发送到攻击者控制的服务器。 防范使用HTTPS、定期更换会话ID、实施合理的会话超时机制。
5. 中间人攻击MITM
描述攻击者在通信双方之间截获或篡改数据。防范始终使用加密协议例如TLS/SSL、公共Wi-Fi的VPN连接、端点认证。
