SSRF防御
XSS防御
CSRF防御
路徑遍歷防御
目的
- 防止例如業(yè)務(wù)接口http://test.com?url= 被攻擊者利用進(jìn)行任意本地文件遍歷等:http://test.com?url=/etc/passwd http://test.com?url=../../../../../../../etc/passwd
URL編碼
URL編碼:%+字符的ASCII碼的十六進(jìn)制,比如"\"的ASCII碼為92,92的十六進(jìn)制是5c禽最,那么對"\"編碼后的結(jié)果就是%5c
解決方案
攻擊者通常會對url進(jìn)行編碼唐责,例如:
. ----> %2e
/ ----> %2f
\ ----> %5c
- 徹底的url解碼:循環(huán)檢測url路徑字符串中是否有%崇棠,如果有則解碼骤坐,直到?jīng)]有%為止,防止對%多次編碼繞過术健,直到得到徹底url解碼后無%的路徑
- 判斷解碼后的url是否以/開頭络断,是的話返回錯誤裁替;判斷解碼后的url是否含有../,有的話范湖錯誤
SQL注入防御
文件上傳漏洞防御
文件上傳漏洞是指用戶上傳了一個可執(zhí)行的文件到服務(wù)器并執(zhí)行貌笨,這里的文件可以是病毒弱判,惡意腳本等
解決方案
首先對于文件名要防止路徑穿越,這里可以參考路徑遍歷防御
對于后綴锥惋,我們要限制能夠上傳的文件類型昌腰;設(shè)置一個白名單,不在白名單中的文件類型直接過濾
不能簡單的根據(jù)后綴名來判斷一個文件的類型膀跌,我們需要通過文件頭來判斷遭商;每一種類型的文件對應(yīng)著一個文件頭,我們可以更加文件頭的字節(jié)碼文件來判斷文件類型
補充-DDOS攻擊
舉個栗子:現(xiàn)在有一家店生意很好捅伤,作為他的競爭者你雇傭了一批"鬧事者"劫流,這群鬧事者在店里亂逛,就是不買東西丛忆,導(dǎo)致一些真正要買東西的顧客連店門都進(jìn)不了
DDOS:分布式拒絕服務(wù)祠汇,利用大量偽造的請求來占用過多的服務(wù)資源從而使得合法用戶的請求得不到響應(yīng)
