日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
Web 網(wǎng)絡(luò)攻擊及如何預(yù)防講解

一、Web 網(wǎng)絡(luò)攻擊

  • 過濾和轉(zhuǎn)義特殊字符
  • 對訪問數(shù)據(jù)庫的Web應(yīng)用程序采用Web應(yīng)用防火墻
  • 嚴(yán)格檢查輸入變量的類型和格式
  • 過濾和轉(zhuǎn)義特殊字符
  • 對訪問數(shù)據(jù)庫的Web應(yīng)用程序采用Web應(yīng)用防火墻

web 網(wǎng)絡(luò)攻擊是黑客基于用戶上網(wǎng)操作行為或針對服務(wù)器等硬件設(shè)施進(jìn)行攻擊的手段,例如客戶端植入惡意攻擊代碼段,動態(tài)修改網(wǎng)站權(quán)限,嵌入獲取用戶隱私信息等

最常見的攻擊方式:

1)XSS 跨站腳本攻擊

2)CSRF 跨站請求偽造

3)SQL 注入

二、XSS

跨站腳本攻擊,允許攻擊者將惡意代碼植入到提供給其它用戶使用的頁面中

XSS 的攻擊目的是為了盜取存儲在客戶端的 cookie 或者其他網(wǎng)站用于識別客戶端身份的敏感信息,盜取到用戶信息后,攻擊者會利用用戶信息與網(wǎng)站進(jìn)行交互

根據(jù)攻擊的來源,XSS 攻擊可以分成:存儲型、反射型、DOM 型

-存儲型

  1. 攻擊者將惡意代碼提交到目標(biāo)網(wǎng)站的數(shù)據(jù)庫中
  2. 用戶打開目標(biāo)網(wǎng)站時(shí),網(wǎng)站服務(wù)端將惡意代碼從數(shù)據(jù)庫取出,拼接在 HTML 中返回給瀏覽器
  3. 用戶瀏覽器接收到響應(yīng)后解析執(zhí)行,混在其中的惡意代碼也被執(zhí)行
  4. 惡意代碼竊取用戶數(shù)據(jù)并發(fā)送到攻擊者的網(wǎng)站,或者冒充用戶的行為,調(diào)用目標(biāo)網(wǎng)站接口執(zhí)行攻擊者指定的操作

這種攻擊常見于帶有用戶保存數(shù)據(jù)的網(wǎng)站功能,如論壇發(fā)帖、商品評論、用戶私信等

-反射型

  • 攻擊者構(gòu)造出特殊的 URL,其中包含惡意代碼
  • 用戶打開帶有惡意代碼的 URL 時(shí),網(wǎng)站服務(wù)端將惡意代碼從 URL 中取出,拼接在 HTML 中返回給瀏覽器
  • 用戶瀏覽器接收到響應(yīng)后解析執(zhí)行,混在其中的惡意代碼也被執(zhí)行
  • 惡意代碼竊取用戶數(shù)據(jù)并發(fā)送到攻擊者的網(wǎng)站,或者冒充用戶的行為,調(diào)用目標(biāo)網(wǎng)站接口執(zhí)行攻擊者指定的操作

反射型 XSS 跟存儲型 XSS 的區(qū)別是:存儲型 XSS 的惡意代碼存在數(shù)據(jù)庫里,反射型 XSS 的惡意代碼存在 URL 里。

反射型 XSS 漏洞常見于通過 URL 傳遞參數(shù)的功能,如網(wǎng)站搜索、跳轉(zhuǎn)等。

-DOM 型 XSS

  1. 攻擊者構(gòu)造出特殊的 URL,其中包含惡意代碼
  2. 用戶打開帶有惡意代碼的 URL
  3. 用戶瀏覽器接收到響應(yīng)后解析執(zhí)行,前端 JavaScript 取出 URL 中的惡意代碼并執(zhí)行
  4. 惡意代碼竊取用戶數(shù)據(jù)并發(fā)送到攻擊者的網(wǎng)站,或者冒充用戶的行為,調(diào)用目標(biāo)網(wǎng)站接口執(zhí)行攻擊者指定的操作

DOM 型 XSS 跟前兩種 XSS 的區(qū)別:DOM 型 XSS 攻擊中,取出和執(zhí)行惡意代碼由瀏覽器端完成,屬于前端 JavaScript 自身的安全漏洞,而其他兩種 XSS 都屬于服務(wù)端的安全漏洞

三、CSRF

跨站請求偽造:攻擊者誘導(dǎo)受害者進(jìn)入第三方網(wǎng)站,在第三方網(wǎng)站中,向被攻擊網(wǎng)站發(fā)送跨站請求

例如:

用戶從網(wǎng)站 A 登錄,保留了登錄憑證

同時(shí)攻擊者引導(dǎo)用戶訪問網(wǎng)站 B

B 網(wǎng)站向 A 網(wǎng)站發(fā)送一個(gè)請求,瀏覽器會攜帶 A 網(wǎng)站的 cookie

A 網(wǎng)站接收請求后,服務(wù)器對請求驗(yàn)證確認(rèn),確實(shí)時(shí)用戶的憑證,被誤認(rèn)為是用戶自己發(fā)出的請求

  • 攻擊者在用戶毫不知情的情況下冒充受害者,執(zhí)行了自定義的操作。
  • 攻擊一般發(fā)起在第三方網(wǎng)站,而不是被攻擊的網(wǎng)站。被攻擊的網(wǎng)站無法防止攻擊發(fā)生
  • 攻擊利用受害者在被攻擊網(wǎng)站的登錄憑證,冒充受害者提交操作;而不是直接竊取數(shù)據(jù)
  • 整個(gè)過程攻擊者并不能獲取到受害者的登錄憑證,僅僅是“冒用”
  • 跨站請求可以用各種方式:圖片URL、超鏈接、CORS、Form提交等等。部分請求方式可以直接嵌入在第三方論壇、文章中,難以進(jìn)行追蹤

四、SQL 注入

SQL 注入攻擊,是通過將惡意的 SQL 查詢或添加語句插入到應(yīng)用的輸入?yún)?shù)中,再在后臺 SQL 服務(wù)器上解析執(zhí)行進(jìn)行的攻擊

  • 找出SQL漏洞的注入點(diǎn)
  • 判斷數(shù)據(jù)庫的類型以及版本
  • 猜解用戶名和密碼
  • 利用工具查找Web后臺管理入口
  • 入侵和破壞

如何預(yù)防?

  • 嚴(yán)格檢查輸入變量的類型和格式
  • 過濾和轉(zhuǎn)義特殊字符
  • 對訪問數(shù)據(jù)庫的Web應(yīng)用程序采用Web應(yīng)用防火墻

本文名稱:Web 網(wǎng)絡(luò)攻擊及如何預(yù)防講解
標(biāo)題鏈接:http://www.5511xx.com/article/dpeojch.html