您好、欢迎来到现金彩票网!
当前位置:满堂彩 > 次要防御方向 >

被这六类WEB站攻击打的生活不能自理?教你如何解决

发布时间:2019-07-18 04:56 来源:未知 编辑:admin

  跨站脚本攻击(XSS,Cross-site ing)是最常见和基本的攻击WEB网站的方法。攻击者在网页上发布包含攻击性代码的数据。

  当查看到页面时,这些特定的脚本会以用户的身份和权限执行。XSS使修改用户数据、窃取用户信息和引发其他类型的攻击(如CSRF攻击)变得相对容易。

  出错的页面的漏洞也可能造成XSS攻击。比如页面/gift/giftList.htm?page=2找不到,出错页面直接把该URL原样输出,如果攻击者在URL后面加上攻击代码发给受害者,就有可能出现XSS攻击 。

  另一种常见的攻击是跨站点请求伪造(CSRF,Cross-site request forgery)。攻击者以多种方式伪造请求,模仿用户提交表单来修改用户的数据或执行特定的任务。

  CSRF攻击通常与XSS攻击结合使用,以模拟用户的身份,但也可以以其他方式使用,例如诱导用户单击包含该攻击的链接。

  1、使用POST请求增加攻击难度。用户单击链接启动GET请求。然而,POST请求相对比较困难,攻击者通常需要java来实现它们。

  2、对请求进行身份验证,以确保该请求实际上是由用户填写和提交的,而不是由第三方伪造的。您可以在会话中添加token,以确保是同一个人看到信息并提交它。

  您在浏览器中查看的任何WEB站点,无论您的WEB站点使用什么技术或框架,都使用HTTP协议,它在Response header和content之间有一个空行,即两组CRLF (0x0D 0A)字符。

  这一空行记了headers的结束和content的开始。攻击者可以利用这一点。只要攻击者能够将headers“注入”任何字符,这种攻击就会发生。

  避免这种攻击的方法是过滤所有的response headers中的非法字符,尤其是CRLF。服务器通常会限制request headers的大小。

  假设应用程序在cookie中存储了一些用户输入,那么它可能超过8K bytes。超过8K bytes的header链接给受害者,然后会被服务器拒绝。解决方案是检查cookie的大小,限制新cookie的总大写,并减少由于header过大而导致的拒绝访问攻击。

  通过Java 非常容易访问到当前网站的cookie。你可以打开任何网站,然后在浏览器地址栏中输 入:java:alert(doucment.cookie),立刻就可以看到当前站点的cookie(如果有的话)。

  攻击者可以使用此功能访问您的密钥信息。例如,结合XSS攻击,攻击者会在你的浏览器上执行特定的Java 脚本来获得你的cookie。

  假如说,这个网站仅依赖cookie来验证用户身份,那么攻击者就可以冒充你的身份来做一些事情。

  现在多数浏览器都支持在cookie上打上HttpOnly的标记,凡有这个标志的cookie就无法通过Java 来取得,如果能在关键cookie上打上这个标记,就会大大增强cookie的安全性。

  一种常用的攻击形式是网络钓鱼。网络钓鱼攻击者通常会向受害者发送一个貌似合法的链接,当链接被点击时,用户会被指向一个非法网站,从而欺骗用户的信任,窃取用户的信息。

  为防止这种行为,我们必须对所有的重定向操作进行审核,以避免重定向到一个危险的地方。

  常见解决方案是白名单,将合法的重要定向的URL加到白名单中,非白名单上的域名重定向时拒之,第二种解决方案是重定向token,在合法的URL上加上token,重定向时进行验证。

  1、文件名攻击,使用上传之前用文件名,这就可能造成:客户端与服务器端字符代码不兼容,导致文件名混淆乱码;文件名包含脚本,进而导致攻击。

  2、文件后缀攻击。上传文件的后缀可以是exe可执行文件、js脚本等,这些有害程序可以在受害者的客户端甚至服务器上执行。因此我们必须过滤文件名后缀,排除那些不被许可的文件名后缀。

  3、文件内容的攻击。IE6存在的一个严重问题是,它不信任服务器发送的content type,而是根据文件的内容自动识别文件的类型,并根据它识别的文件类型显示或执行文件。

  如果上传一个gif文件,在文件末尾放一段js攻击脚本,就有可能被执行。这种攻击,它的文件名和content type看起来都是合法的gif图片。

  然而其内容却包含脚本,这样的攻击无法用文件名过滤来排除,而是必须扫描其文件内容,才能识别的。

  了解完以上的WEB站攻击方式后,有没有感觉细思极恐呢?所以说,在这个互联网时代,无论你是谁,都应该了解这些内容,做好安全防护!

  声明:我们尊重原创者版权,除确实无法确认作者外,均会注明作者和来源。转载文章仅供个人学习研究,同时向原创作者表示感谢,若涉及版权问题,请及时联系小编删除!

  截至到目前,超级盾成功抵御史上最大2.47T黑客DDoS攻击,超级盾具有无限防御DDoS、100%防CC的优势。

http://blogmarked.com/ciyaofangyufangxiang/262.html
锟斤拷锟斤拷锟斤拷QQ微锟斤拷锟斤拷锟斤拷锟斤拷锟斤拷锟斤拷微锟斤拷
关于我们|联系我们|版权声明|网站地图|
Copyright © 2002-2019 现金彩票 版权所有