首页>安全资讯>揭秘web最常见的攻击和防御手段

揭秘web最常见的攻击和防御手段

随着互联网的发展与技术深入,网站已成为黑客攻击的主要目标,如何有效地防范成为亟待解决的问题,其实这个问题一直都存在,也有应对的方法,有攻击就有防御,下面要为大家介绍的就是web最常见的攻击和防御手段,一起来学习学习!

XSS攻击

跨站脚本攻击;

是什么:攻击者向有XSS漏洞的网站中输入恶意的HTML代码,当其浏览器浏览该网站时,这段HTML代码会自动执行。(理论上所有可以输入的地方没有对输入的数据进行处理,都会存在XSS攻击);

危害: 盗取用户cookie,破坏页面结构,重定向到其他网站;

防御:对用户输入的信息进行处理,只允许合法的值;

CSRF攻击

跨站请求伪造

是什么:攻击者盗用了你的身份,以你的名义发送恶意请求;

危害:以你的名义发送邮件,盗取帐号,购买东西等;

原理: 首先个登录某网站,并在本地生成cookie;然后在不登出的情况下,访问危害网站。

防御: 可以从服务端和客户端两方面进行考虑。但是在服务端的效果好。

随机的cookie

添加验证码

不同的表单包含一个不同的伪随机值

注意:如果用户在一个站点上同时打开了两个不同的表单。CSRF保护措施不应该影响到他对任何表单的提交

SQL注入

是什么:通过sql命令伪装成正常的http请求参数,传递到服务端,服务器执行sql命令造成对数据库进行攻击

原理:sql语句伪造参数,然后在对参数机型拼接后形成破坏性的sql语句,最后导致数据库收到攻击

防御:

对参数进行转义

数据库中的密码不应明文存储,可以对密码使用md5进行加密。

DDOS攻击(分布式拒绝服务攻击)

是什么:简单来说就是ifasong大量的请求使服务器瘫痪。

被攻击的原因:服务器带宽不足,不能挡住攻击者的攻击流量。

防御:

最直接的方法就是增加带宽;

使用硬件防火墙;

优化资源使用提高 web server 的负载能力

以上,是为大家分享的“火狐浏览器显示“流量劫持的攻击手段与防御方法“的解决方法”的全部内容,如果用户遇到的问题不能解决,可通过wosign官网客服寻求帮助,凡是选择wosign ssl证书的网站用户,wosign可提供免费一对一的ssl证书技术部署支持,免除后顾之忧。

相关资讯

流量劫持案例:京东被劫持的分析与思考

服务器返回的代码导致跳转,基本可以排除本地木马,推测是网络或者服务器的问题。根据笔者的经验,这种情况很大可能是链路上的流量劫持攻击。当然也不能排除京东服务器被黑的情况。

HTTPS加密如何防止流量劫持

流量劫持,就是利用各种恶意软件修改浏览器、锁定主页或不停弹出新窗口,强制用户访问某些网站,从而造成用户流量损失的情形。流量劫持是一种古老的攻击方式,比如早已见惯的广告弹窗(如下图)等,很多人已经对此麻木,并认为流量劫持不会造成什么损失。而事实上,流量劫持可以通过多种你无法觉察的方式窃取信息!

最新资讯

什么是流量劫持?流量劫持的攻击手段与防御方法

使用HTTP传输安全HSTS配置方法

火狐浏览器显示“已阻止载入混合活动内容“的解决方法

Eclipse如何在Tomcat下配置SSL证书(详细配置指南教程)

教你如何用HSTS实现http跳转https?

标签推荐:ssl证书过期 | 阿里云ssl证书 | https证书申请| 数字签名技术| 火狐浏览器证书| ssl证书更新| 小程序证书| 驱动数字签名