攻擊類型
xss攻擊
XSS攻擊全稱跨站腳本攻擊,是一種網站攻擊受信任用戶的腳本攻擊;
舉例:
網站A有一個輸入框,用戶A利用這個輸入框編寫了具有攻擊性的代碼,並且上傳到了服務器,用戶B通過網站A瀏覽頁面時,攻擊性代碼運行,從而達到攻擊的目的;
安全防範:
網站服務器做到:上傳驗證,輸出編碼
上傳驗證:前端通過加密的形式上傳內容,後端通過解密來驗證內容的安全性,防止攻擊代碼的上傳
輸出編碼:服務器返回數據之前通過特定的編碼格式處理,防止攻擊代碼在信任用戶的頁面直接運行
CSRF跨站請求僞造
CSRF是一種對網站的惡意利用,攻擊者通過僞裝向服務器發起請求,欺騙服務器,從而達到攻擊的目的;
舉例:
網站A是一個正式網站,用戶B是網站A的信任用戶,用戶B登錄網站後保存信任憑證在cookie,攻擊者通過一些手段獲取到這個cookie,然後利用cookie向服務器發送非法請求,因爲cookie的存在,這些請求在服務器看來都是合法的;
安全防範:
通過加密形式生成特定的參數,並攜帶在請求中(自定義請求頭或者自定義參數),服務器通過驗證該參數來判斷請求是否來着信任的用戶;
sql注入
sql注入是通過把SQL命令插入到Web表單遞交或輸入域名或頁面請求的查詢字符串,最終達到欺騙服務器執行惡意的SQL命令
舉例:
某網站的登錄頁面,用戶輸入用戶名或者密碼時輸入 “-- 攻擊性sql語句”,如果服務器端沒有處理,-- 符號會在執行sql語句時把原來的代碼註釋,從而執行用戶輸入的代碼
安全防範:
前端在輸入框是應該嚴格驗證用戶輸入內容格式和長度;服務器端做好相應的防範
上傳漏洞
上傳漏洞是指用戶通過上傳功能,把攻擊性文件上傳到服務器,就是通常說的木馬
安全防範
前端上傳時驗證文件的後綴名稱,但是前端驗證不能完全防範上傳漏洞,攻擊者可以通過插件或者代碼繞過前端的驗證,所以需要服務器端的配合