域名解析后怎么建网站,宁波seo公司排名,网站搜索引擎友好性分析,wordpress菜单注册什么是XSS攻击#xff0c;如何避免?
XSS 攻击#xff0c;全称跨站脚本攻击#xff08;Cross-Site Scripting#xff09;#xff0c;这会与层叠样式表(Cascading Style Sheets, CSS)的缩写混淆#xff0c;因此有人将跨站脚本攻击缩写为XSS。它指的是恶意攻击者往Web页面…什么是XSS攻击如何避免?
XSS 攻击全称跨站脚本攻击Cross-Site Scripting这会与层叠样式表(Cascading Style Sheets, CSS)的缩写混淆因此有人将跨站脚本攻击缩写为XSS。它指的是恶意攻击者往Web页面里插入恶意html代码当用户浏览该页之时嵌入其中Web里面的html代码会被执行从而达到恶意攻击用户的特殊目的。XSS攻击一般分三种类型存储型 、反射型 、DOM型XSS
XSS是如何攻击的 拿反射型举个例子吧流程图如下 如何解决XSS攻击问题
不相信用户的输入对输入进行过滤过滤标签等只允许合法值。 HTML 转义 对于链接跳转如 a href“xxx” 等要校验内容禁止以script开头的非法链接。 限制输入长度等等
SYN泛洪攻击
TCP进入三次握手前服务端会从CLOSED状态变为LISTEN状态,同时在内部创建了两个队列半连接队列SYN队列和全连接队列ACCEPT队列。
什么是半连接队列SYN队列 呢? 什么是全连接队列ACCEPT队列 呢 TCP三次握手时客户端发送SYN到服务端服务端收到之后便回复ACK和SYN状态由LISTEN变为SYN_RCVD此时这个连接就被推入了SYN队列即半连接队列。 当客户端回复ACK, 服务端接收后三次握手就完成了。这时连接会等待被具体的应用取走在被取走之前它被推入ACCEPT队列即全连接队列。
我们都知道 TCP 连接建立是需要三次握手,假设攻击者短时间伪造不同 IP 地址的 SYN 报文,服务端每接收到 一个 SYN 报文,就进入 SYN_RCVD 状态,但服务端发送出去的 ACK SYN 报文,无法得到未知 IP 主机的ACK 应答,久而久之就会占满服务端的 SYN 接收队列(未连接队列),使得服务器不能为正常用户服务。 处理方法是通过防火墙或者增大半连接队列缩短超时时间。
什么是DoS、DDoS、DRDoS攻击
DOS: (Denial of Service),中文名称是拒绝服务,一切能引起DOS行为的攻击都被称为DOS攻击。最常见的DoS攻击有计算机网络宽带攻击和连通性攻击。 DDoS: (Distributed Denial of Service),中文名称是分布式拒绝服务。是指处于不同位置的多个攻击者同时向一个或数个目标发动攻击或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击。常见的DDos有SYN Flood、Ping of Death、ACK Flood、UDP Flood等。 DRDoS: (Distributed Reflection Denial of Service)中文名称是分布式反射拒绝服务该方式靠的是发送大量带有被害者IP地址的数据包给攻击主机然后攻击主机对IP地址源做出大量回应形成拒绝服务攻击。
什么是CSRF攻击如何避免
什么是CSRF 攻击
CSRF跨站请求伪造英语Cross-site request forgery简单点说就是攻击者盗用了你的身份以你的名义发送恶意请求。跟跨网站脚本XSS相比XSS 利用的是用户对指定网站的信任CSRF 利用的是网站对用户网页浏览器的信任。
CSRF是如何攻击的呢
我们来看下这个例子哈来自百度百科 Tom 登陆银行没有退出浏览器包含了Tom在银行的身份认证信息。 黑客Jerry将伪造的转账请求包含在在帖子 Tom在银行网站保持登陆的情况下浏览帖子 将伪造的转账请求连同身份认证信息发送到银行网站 银行网站看到身份认证信息以为就是Tom的合法操作最后造成Tom资金损失。 如何解决CSRF攻击
检查Referer字段。HTTP头中有一个Referer字段这个字段用以标明请求来源于哪个地址。 添加校验token。
