常见的安全攻击方式及防御简介
来源:互联网 发布:我国加工贸易数据 编辑:程序博客网 时间:2024/04/28 16:20
常见的安全攻击方式及防御简介 - Jason Zhang的blog - 博客频道 - CSDN.NET
常见的安全攻击主要有XSS、CSRF、SQL注入等方式,一、XSS:跨站脚本攻击
跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的,包括:偷取cookie、密码等重要数据,进而伪造交易、盗窃情报和财产等。攻击方式
反射’XSS:诱使用户点击进入一个嵌入恶意脚本的链接,从而进行攻击持久型XSS:将恶意脚本保存在WEB站点的数据库中,用户浏览时,恶意脚本通过正常页面得到执行防御:
消毒:对html危险字符进行转义,例如”<”转义为”<”等httpOnly:一般浏览器禁止页面JavaScript访问带有HttpOnly属性的cookie。利用这一规则,对敏感信息的cookie添加HttpOnly属性,从而避免被攻击二、注入攻击
主要有SQL注入攻击、OS注入攻击攻击方式
攻击者主要利用开源软件的数据库结构公开性,对应用开源软件的网站进行攻击。错误回显:如果网站有错误回显,服务器内部500错误会显示到浏览器上。攻击者通过构造非法参数,频繁获得异常信息,从而猜测数据库结构盲注:猜测表名和数据库表结构防御
消毒:通过正则表达式对SQL进行过滤,例如:drop table,等参数绑定:通过预编译SQL绑定参数,见传入的内容当做SQL参数。一般数据库访问层框架(iBatis、hibernate等)都实现了SQL预编译和参数绑定三、CSRF 跨站请求伪造
CSRF(Cross-site request forgery跨站请求伪造, 通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。 CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。攻击方式
CSRF攻击依赖下面的假定:攻击者了解受害者所在的站点攻击者的目标站点具有持久化授权cookie或者受害者具有当前会话cookie目标站点没有对用户在网站行为的第二授权防御
一般通过表单Token、验证码、Referer check等方式避免CSRF四、错误回显
一般服务器默认打开错误回显,给攻击者提供了可乘之机。防御网站设计专门的错误界面,将服务器500错误跳转到专门的错误界面五、文件上传:
需要限定上传文档的类型和权限,避免攻击者上传可执行的程序六、安全开源产品ModSecurity介绍
ModSecurity是一个入侵侦测与防护引擎,它主要是用于Web 应用程序,所以也被称为Web应用程序防火墙,功能是增强Web application的安全性和保护Web application以避免遭受来自已知与未知的攻击。 它可以作为Apache Web服务器的模块或是单独的应用程序来运作。 具备的主要功能:1、HTTP流量记录2、实时监控和web攻击检测:3、三种攻击防御办法:消极模型、积极模型、已知漏洞4、规则引擎5、嵌入式部署、不改变已有的网络结构,系统开销小。
0 0
- 常见的安全攻击方式及防御简介
- 常见的安全攻击方式及防御简介
- DDoS的攻击方式及防御手段
- WEB开发中一些常见的攻击方式及简单的防御方法
- WEB开发中一些常见的攻击方式及简单的防御方法
- 网络上常见的攻击方式以及防御系统
- 网络验证常见的攻击方式与防御手段
- 网站安全的常见攻击方式防止
- 网站常见攻击方式与防御汇总
- Web前端攻击方式及防御措施
- 常见的Web攻击和防御总结
- 互联网常见的攻击与防御
- 常见的Web攻击和防御总结
- 网站安全之几种常见的网络攻击方式
- IIS服务器的攻击与防御方式
- 总结几种常见web攻击手段及其防御方式
- 总结几种常见web攻击手段及其防御方式
- 常见的web安全攻击手段及解决办法
- HDU 1.3.6 悼念512汶川大地震遇难同胞(排序|贪心|)
- 想写点R语言的与数据挖掘的东西
- 黑马程序员-----网络编程中Tcp客户端并发上传图片
- 秀技能:倒立及其他没用的
- oracle中如何查看一个方案中已经存在的sequence?
- 常见的安全攻击方式及防御简介
- Yii 获得当前控制器和方法
- ios svn repository
- 【设计模式】组合模式
- Android编程心得-FragmentActivity与Fragment两者交互方法简介
- POJ3299解题报告
- java 工程获取路径 web根目录。 项目classpath根目录 各种实用方法
- 电信运营商行业软件维护工作梳理
- CodeForces 479 E. Riding in a Lift