1.跨站腳本攻擊(Cross Site Scripting),惡意攻擊者往Web頁面裏插入惡意Script代碼,當用戶瀏覽該頁之時,嵌入其中Web裏面的Script代碼會被執行,從而達到惡意攻擊用戶的特殊目的。
exp:參數中帶有<script>alert('121')</script>,這樣到頁面中就會執行。
防禦:配置過濾器,檢查所有的請求參數中有沒有惡意的script代碼,進行過濾。
2.session固定攻擊(Session fixation),用戶在登錄前後使用的是一套session id,稱爲固定session,攻擊者一旦獲取了用戶的session id,就能冒充用戶訪問網站。
exp:攻擊者A給受害者B發送一份郵件,郵件中帶有A預先設定的session id,B點擊後正常登錄,那麼此session id就通過了驗證,A能夠以B的身份繼續訪問。
防禦:配置context.xml,<context></context>標籤中加上<Valve className="org.apache.catalina.authenticator.SSLAuthenticator" changeSessionIdOnAuthentication="true"/> ,在身份驗證時主動變更session id。也可以在登錄方法中,重新生成session id。
3.跨站請求僞裝攻擊(Cross Site Request Forgrey),攻擊者僞裝成普通用戶,以其身份發送請求。
exp:受害者B在訪問銀行網站的同時,也訪問了A的危險網站,A在網站中通過圖片img屬性,隱藏匯款等操作,因爲此時已經有B的cookie,只要B點擊了圖片,就在不知情的情況下匯款。
防禦:在重要的請求參數中,添加僞驗證碼,請求方法中,驗證此碼是否正確,再進行業務提交。
4.跨框架腳本攻擊(Cross Frame Scripting),攻擊利用iframe嵌套有漏洞的頁面,在主框架的代碼中加入scirpt,監視、盜取用戶輸入。
exp:攻擊者A嵌套銀行網站登錄頁,受害者B在不知情的情況下,輸入用戶名密碼,A就能通過script知道B輸入的密碼。
防禦:頁面中加上<meta http-equiv="X-Frame-Options" content=" ">,content有三個可選值,是SAMEORIGIN/DENY/ALLOW-FROM,含義分別是隻允許同源域名頁面嵌套,拒絕任何頁面嵌套,指定頁面地址嵌套。
5.html注入攻擊(Html Injection),頁面交互時,包括location跳轉,可以被攻擊者惡意使用,執行script代碼。
exp:攻擊者A通過篡改window.location.href中請求參數,加入script代碼,受害者B請求後造成信息泄漏。
防禦:儘量減少非必要的location方式頁面跳轉,若必須使用,location地址參數,通過procinstId = procinstId.replace(/&/g,'&').replace(/"/i,'"').replace(/</i,'<').replace(/>/i,'>').replace(/'/i,''')過濾掉非法字符。其次不要引用不使用的標籤庫,規範代碼。