君子以泽,完美世界官网,盗墓笔记有声小说

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

Web 網(wǎng)絡攻擊及如何預防講解

一、Web 網(wǎng)絡攻擊

過濾和轉(zhuǎn)義特殊字符
對訪問數(shù)據(jù)庫的Web應用程序采用Web應用防火墻
嚴格檢查輸入變量的類型和格式
過濾和轉(zhuǎn)義特殊字符
對訪問數(shù)據(jù)庫的Web應用程序采用Web應用防火墻

web 網(wǎng)絡攻擊是黑客基于用戶上網(wǎng)操作行為或針對服務器等硬件設(shè)施進行攻擊的手段，例如客戶端植入惡意攻擊代碼段，動態(tài)修改網(wǎng)站權(quán)限，嵌入獲取用戶隱私信息等

最常見的攻擊方式：

1)XSS 跨站腳本攻擊

2)CSRF 跨站請求偽造

3)SQL 注入

二、XSS

跨站腳本攻擊，允許攻擊者將惡意代碼植入到提供給其它用戶使用的頁面中

XSS 的攻擊目的是為了盜取存儲在客戶端的 cookie 或者其他網(wǎng)站用于識別客戶端身份的敏感信息，盜取到用戶信息后，攻擊者會利用用戶信息與網(wǎng)站進行交互

根據(jù)攻擊的來源，XSS 攻擊可以分成：存儲型、反射型、DOM 型

-存儲型

攻擊者將惡意代碼提交到目標網(wǎng)站的數(shù)據(jù)庫中
用戶打開目標網(wǎng)站時，網(wǎng)站服務端將惡意代碼從數(shù)據(jù)庫取出，拼接在 HTML 中返回給瀏覽器
用戶瀏覽器接收到響應后解析執(zhí)行，混在其中的惡意代碼也被執(zhí)行
惡意代碼竊取用戶數(shù)據(jù)并發(fā)送到攻擊者的網(wǎng)站，或者冒充用戶的行為，調(diào)用目標網(wǎng)站接口執(zhí)行攻擊者指定的操作

這種攻擊常見于帶有用戶保存數(shù)據(jù)的網(wǎng)站功能，如論壇發(fā)帖、商品評論、用戶私信等

-反射型

攻擊者構(gòu)造出特殊的 URL，其中包含惡意代碼
用戶打開帶有惡意代碼的 URL 時，網(wǎng)站服務端將惡意代碼從 URL 中取出，拼接在 HTML 中返回給瀏覽器
用戶瀏覽器接收到響應后解析執(zhí)行，混在其中的惡意代碼也被執(zhí)行
惡意代碼竊取用戶數(shù)據(jù)并發(fā)送到攻擊者的網(wǎng)站，或者冒充用戶的行為，調(diào)用目標網(wǎng)站接口執(zhí)行攻擊者指定的操作

反射型 XSS 跟存儲型 XSS 的區(qū)別是：存儲型 XSS 的惡意代碼存在數(shù)據(jù)庫里，反射型 XSS 的惡意代碼存在 URL 里。

反射型 XSS 漏洞常見于通過 URL 傳遞參數(shù)的功能，如網(wǎng)站搜索、跳轉(zhuǎn)等。

-DOM 型 XSS

攻擊者構(gòu)造出特殊的 URL，其中包含惡意代碼
用戶打開帶有惡意代碼的 URL
用戶瀏覽器接收到響應后解析執(zhí)行，前端 JavaScript 取出 URL 中的惡意代碼并執(zhí)行
惡意代碼竊取用戶數(shù)據(jù)并發(fā)送到攻擊者的網(wǎng)站，或者冒充用戶的行為，調(diào)用目標網(wǎng)站接口執(zhí)行攻擊者指定的操作

DOM 型 XSS 跟前兩種 XSS 的區(qū)別：DOM 型 XSS 攻擊中，取出和執(zhí)行惡意代碼由瀏覽器端完成，屬于前端 JavaScript 自身的安全漏洞，而其他兩種 XSS 都屬于服務端的安全漏洞

三、CSRF

跨站請求偽造：攻擊者誘導受害者進入第三方網(wǎng)站，在第三方網(wǎng)站中，向被攻擊網(wǎng)站發(fā)送跨站請求

例如：

用戶從網(wǎng)站 A 登錄，保留了登錄憑證

同時攻擊者引導用戶訪問網(wǎng)站 B

B 網(wǎng)站向 A 網(wǎng)站發(fā)送一個請求，瀏覽器會攜帶 A 網(wǎng)站的 cookie

A 網(wǎng)站接收請求后，服務器對請求驗證確認，確實時用戶的憑證，被誤認為是用戶自己發(fā)出的請求

攻擊者在用戶毫不知情的情況下冒充受害者，執(zhí)行了自定義的操作。
攻擊一般發(fā)起在第三方網(wǎng)站，而不是被攻擊的網(wǎng)站。被攻擊的網(wǎng)站無法防止攻擊發(fā)生
攻擊利用受害者在被攻擊網(wǎng)站的登錄憑證，冒充受害者提交操作;而不是直接竊取數(shù)據(jù)
整個過程攻擊者并不能獲取到受害者的登錄憑證，僅僅是“冒用”
跨站請求可以用各種方式：圖片URL、超鏈接、CORS、Form提交等等。部分請求方式可以直接嵌入在第三方論壇、文章中，難以進行追蹤

四、SQL 注入

SQL 注入攻擊，是通過將惡意的 SQL 查詢或添加語句插入到應用的輸入?yún)?shù)中，再在后臺 SQL 服務器上解析執(zhí)行進行的攻擊

找出SQL漏洞的注入點
判斷數(shù)據(jù)庫的類型以及版本
猜解用戶名和密碼
利用工具查找Web后臺管理入口
入侵和破壞

如何預防?

嚴格檢查輸入變量的類型和格式
過濾和轉(zhuǎn)義特殊字符
對訪問數(shù)據(jù)庫的Web應用程序采用Web應用防火墻

文章名稱：Web 網(wǎng)絡攻擊及如何預防講解
本文URL：http://fisionsoft.com.cn/article/dpeojch.html

新聞中心

一、Web 網(wǎng)絡攻擊

二、XSS