• 常见的 CSRF、XSS、sql注入、DDOS流量攻击


    CSRF攻击 :跨站请求伪造攻击 ,CSRF全名是Cross-site request forgery,是一种对网站的恶意利用,CSRF比XSS更具危险性

    攻击者一般会使用吸引人的图片去引导用户点击进去他设定好的全套,然后你刚登录的A网站没有关闭,这时候攻击者会利用JS事件去模拟用户请求A网站信息,从而就得到了目的。预防措施:为表单提交都加上自己定义好的token然后加密好,后台也一样的规则然后进行对比。

    XSS攻击:跨站脚本攻击, XSS攻击是Web攻击中最常见的攻击方法之一,它是通过对网页注入可执行代码且成功地被浏览器执行,达到攻击的目的,形成了一次有效XSS攻击,一旦攻击成功,它可以获取用户的联系人列表,然后向联系人发送虚假诈骗信息,可以删除用户的日志等等,有时候还和其他攻击方式同时实施比如SQL注入攻击服务器和数据库、Click劫持、相对链接劫持等实施钓鱼,它带来的危害是巨大的,是web安全的头号大敌.

    攻击者一般通过script标签对网站注入一些可执行的代码,这样就可以很轻松的获取到用户的一些信息。预防措施:strip_tags() 函数,过滤掉输入、输出里面的恶意标签和使用htmlentities()函数把标签字符串转换成html实体。


    可以利用下面的这些函数对出现的xss漏洞的参数进行过滤:
      

    复制代码
       1.htmlspecialchars()函数,用于转义处理在页面上显示的文本;
      2.htmlentities()函数,用于转义处理在页面上显示的文本;
      3.strip_tags()函数,过滤掉输入,输出里面的标签;
      4.header()函数,使用header("Content-type:application/json");
      5.urlencode()函数,用于输出处理字符型参数带入页面链接中。
      6.inval()函数用于处理数值型参数输出页面中。
    复制代码

    sql注入:就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。

    1
    'or 1=1'

      

    总结:

      1、 对用户输入的内容要时刻保持警惕。
      2、只有客户端的验证等于没有验证。
      3、永远不要把服务器错误信息暴露给用户

    预防措施:把一些sql语句进行过滤,比如delete update insert select * 或者使用PDO占位符进行转义。

    DDOS流量攻击:攻击者通过漏洞往网页进行病毒木马的注入,一旦中了招,就成功成为肉鸡。

    最常见的攻击其中有一种SYN攻击,它利用tcp协议往服务器发送大量的半连接请求,当半连接队列达到最大值的时候,正常的数据包会被服务器丢弃,最后你网站可能一分钟不到就不不开了。

    预防措施:

       1、正确设置防火墙
      2、禁止对主机的非开放服务的访问
      3、限制特定IP地址的访问
      4、启用防火墙的防DDoS的属性
      5、严格限制对外开放的服务器的向外访问
      6、运行端口映射程序祸端口扫描程序,要认真检查特权端口和非特权端口。过滤没必要的服务和端口、定期扫描漏洞进行处理、利用路由器进行防护(路由器死掉后重启一下即可不会影响服务器)或者网路没有瘫痪的情况下,可以查一下攻击来源,然后临时把这些IP过滤一下。

  • 相关阅读:
    1.1、Go快速入坟系列之循环与分支
    1.0、Go快速入坟系列之变量、常量与算术运算符
    0.0、Go快速入坟系列配置与安装Go环境
    使用Docker部署.Net Core项目
    留言板
    List实体中不同字段值的转换
    Yum安装,Linux自带Python卸载 安装
    CentOS7系统配置国内yum源和epel源
    Centos7安装jdk1.8
    VUE下载文件,下载后台返回的response
  • 原文地址:https://www.cnblogs.com/cnndevelop/p/12447582.html
Copyright © 2020-2023  润新知