日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢(xún)
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷(xiāo)解決方案
Web 網(wǎng)絡(luò)攻擊及如何預(yù)防講解

一、Web 網(wǎng)絡(luò)攻擊

  • 過(guò)濾和轉(zhuǎn)義特殊字符
  • 對(duì)訪問(wèn)數(shù)據(jù)庫(kù)的Web應(yīng)用程序采用Web應(yīng)用防火墻
  • 嚴(yán)格檢查輸入變量的類(lèi)型和格式
  • 過(guò)濾和轉(zhuǎn)義特殊字符
  • 對(duì)訪問(wèn)數(shù)據(jù)庫(kù)的Web應(yīng)用程序采用Web應(yīng)用防火墻

web 網(wǎng)絡(luò)攻擊是黑客基于用戶(hù)上網(wǎng)操作行為或針對(duì)服務(wù)器等硬件設(shè)施進(jìn)行攻擊的手段,例如客戶(hù)端植入惡意攻擊代碼段,動(dòng)態(tài)修改網(wǎng)站權(quán)限,嵌入獲取用戶(hù)隱私信息等

最常見(jiàn)的攻擊方式:

1)XSS 跨站腳本攻擊

2)CSRF 跨站請(qǐng)求偽造

3)SQL 注入

二、XSS

跨站腳本攻擊,允許攻擊者將惡意代碼植入到提供給其它用戶(hù)使用的頁(yè)面中

XSS 的攻擊目的是為了盜取存儲(chǔ)在客戶(hù)端的 cookie 或者其他網(wǎng)站用于識(shí)別客戶(hù)端身份的敏感信息,盜取到用戶(hù)信息后,攻擊者會(huì)利用用戶(hù)信息與網(wǎng)站進(jìn)行交互

根據(jù)攻擊的來(lái)源,XSS 攻擊可以分成:存儲(chǔ)型、反射型、DOM 型

-存儲(chǔ)型

  1. 攻擊者將惡意代碼提交到目標(biāo)網(wǎng)站的數(shù)據(jù)庫(kù)中
  2. 用戶(hù)打開(kāi)目標(biāo)網(wǎng)站時(shí),網(wǎng)站服務(wù)端將惡意代碼從數(shù)據(jù)庫(kù)取出,拼接在 HTML 中返回給瀏覽器
  3. 用戶(hù)瀏覽器接收到響應(yīng)后解析執(zhí)行,混在其中的惡意代碼也被執(zhí)行
  4. 惡意代碼竊取用戶(hù)數(shù)據(jù)并發(fā)送到攻擊者的網(wǎng)站,或者冒充用戶(hù)的行為,調(diào)用目標(biāo)網(wǎng)站接口執(zhí)行攻擊者指定的操作

這種攻擊常見(jiàn)于帶有用戶(hù)保存數(shù)據(jù)的網(wǎng)站功能,如論壇發(fā)帖、商品評(píng)論、用戶(hù)私信等

-反射型

  • 攻擊者構(gòu)造出特殊的 URL,其中包含惡意代碼
  • 用戶(hù)打開(kāi)帶有惡意代碼的 URL 時(shí),網(wǎng)站服務(wù)端將惡意代碼從 URL 中取出,拼接在 HTML 中返回給瀏覽器
  • 用戶(hù)瀏覽器接收到響應(yīng)后解析執(zhí)行,混在其中的惡意代碼也被執(zhí)行
  • 惡意代碼竊取用戶(hù)數(shù)據(jù)并發(fā)送到攻擊者的網(wǎng)站,或者冒充用戶(hù)的行為,調(diào)用目標(biāo)網(wǎng)站接口執(zhí)行攻擊者指定的操作

反射型 XSS 跟存儲(chǔ)型 XSS 的區(qū)別是:存儲(chǔ)型 XSS 的惡意代碼存在數(shù)據(jù)庫(kù)里,反射型 XSS 的惡意代碼存在 URL 里。

反射型 XSS 漏洞常見(jiàn)于通過(guò) URL 傳遞參數(shù)的功能,如網(wǎng)站搜索、跳轉(zhuǎn)等。

-DOM 型 XSS

  1. 攻擊者構(gòu)造出特殊的 URL,其中包含惡意代碼
  2. 用戶(hù)打開(kāi)帶有惡意代碼的 URL
  3. 用戶(hù)瀏覽器接收到響應(yīng)后解析執(zhí)行,前端 JavaScript 取出 URL 中的惡意代碼并執(zhí)行
  4. 惡意代碼竊取用戶(hù)數(shù)據(jù)并發(fā)送到攻擊者的網(wǎng)站,或者冒充用戶(hù)的行為,調(diào)用目標(biāo)網(wǎng)站接口執(zhí)行攻擊者指定的操作

DOM 型 XSS 跟前兩種 XSS 的區(qū)別:DOM 型 XSS 攻擊中,取出和執(zhí)行惡意代碼由瀏覽器端完成,屬于前端 JavaScript 自身的安全漏洞,而其他兩種 XSS 都屬于服務(wù)端的安全漏洞

三、CSRF

跨站請(qǐng)求偽造:攻擊者誘導(dǎo)受害者進(jìn)入第三方網(wǎng)站,在第三方網(wǎng)站中,向被攻擊網(wǎng)站發(fā)送跨站請(qǐng)求

例如:

用戶(hù)從網(wǎng)站 A 登錄,保留了登錄憑證

同時(shí)攻擊者引導(dǎo)用戶(hù)訪問(wèn)網(wǎng)站 B

B 網(wǎng)站向 A 網(wǎng)站發(fā)送一個(gè)請(qǐng)求,瀏覽器會(huì)攜帶 A 網(wǎng)站的 cookie

A 網(wǎng)站接收請(qǐng)求后,服務(wù)器對(duì)請(qǐng)求驗(yàn)證確認(rèn),確實(shí)時(shí)用戶(hù)的憑證,被誤認(rèn)為是用戶(hù)自己發(fā)出的請(qǐng)求

  • 攻擊者在用戶(hù)毫不知情的情況下冒充受害者,執(zhí)行了自定義的操作。
  • 攻擊一般發(fā)起在第三方網(wǎng)站,而不是被攻擊的網(wǎng)站。被攻擊的網(wǎng)站無(wú)法防止攻擊發(fā)生
  • 攻擊利用受害者在被攻擊網(wǎng)站的登錄憑證,冒充受害者提交操作;而不是直接竊取數(shù)據(jù)
  • 整個(gè)過(guò)程攻擊者并不能獲取到受害者的登錄憑證,僅僅是“冒用”
  • 跨站請(qǐng)求可以用各種方式:圖片URL、超鏈接、CORS、Form提交等等。部分請(qǐng)求方式可以直接嵌入在第三方論壇、文章中,難以進(jìn)行追蹤

四、SQL 注入

SQL 注入攻擊,是通過(guò)將惡意的 SQL 查詢(xún)或添加語(yǔ)句插入到應(yīng)用的輸入?yún)?shù)中,再在后臺(tái) SQL 服務(wù)器上解析執(zhí)行進(jìn)行的攻擊

  • 找出SQL漏洞的注入點(diǎn)
  • 判斷數(shù)據(jù)庫(kù)的類(lèi)型以及版本
  • 猜解用戶(hù)名和密碼
  • 利用工具查找Web后臺(tái)管理入口
  • 入侵和破壞

如何預(yù)防?

  • 嚴(yán)格檢查輸入變量的類(lèi)型和格式
  • 過(guò)濾和轉(zhuǎn)義特殊字符
  • 對(duì)訪問(wèn)數(shù)據(jù)庫(kù)的Web應(yīng)用程序采用Web應(yīng)用防火墻

本文標(biāo)題:Web 網(wǎng)絡(luò)攻擊及如何預(yù)防講解
瀏覽地址:http://www.dlmjj.cn/article/dpeojch.html