? 姓名:尹凱
? 學(xué)號(hào):22011210590
? 學(xué)院:通信工程學(xué)院
? 原文鏈接:https://blog.csdn.net/larger5/article/details/87925961
【嵌牛導(dǎo)讀】網(wǎng)絡(luò)安全中常見(jiàn)的攻擊方式
【嵌牛鼻子】網(wǎng)絡(luò)安全? 攻擊
一苞尝、前言
參與后臺(tái)開發(fā)律胀,回想起來(lái)熊榛,也有好幾年,但對(duì)網(wǎng)絡(luò)安全,一直沒(méi)有放在心上。
后來(lái)參與公司上線項(xiàng)目接口安全的開發(fā),才漸漸意識(shí)到網(wǎng)絡(luò)安全的重要性娇跟。
高可用的接口安全規(guī)范
下面總結(jié)常見(jiàn)的網(wǎng)絡(luò)攻擊方式
二岩齿、客戶端攻擊
1.XSS攻擊
XSS攻擊即跨站點(diǎn)腳本攻擊(Cross Site Script)太颤,為不和層疊樣式表(Cascading Style Sheets, CSS)的縮寫混淆,故將跨站腳本攻擊縮寫為XSS盹沈。
它允許惡意web用戶將代碼植入到提供給其它用戶使用的頁(yè)面中龄章。
類型 解釋
反射型XSS攻擊 簡(jiǎn)單說(shuō)吃谣,就是要用戶去點(diǎn)擊,點(diǎn)了我才執(zhí)行響應(yīng)的命令做裙。這種類型的XSS攻擊是最常見(jiàn)的岗憋。
持久型XSS攻擊 服務(wù)端已經(jīng)接收了,并且存入數(shù)據(jù)庫(kù)锚贱,當(dāng)用戶訪問(wèn)這個(gè)頁(yè)面時(shí)仔戈,這段XSS代碼會(huì)自己觸發(fā),不需要有客戶端去手動(dòng)觸發(fā)操作拧廊。
DOM XSS 簡(jiǎn)單理解监徘,DOM XSS就是出現(xiàn)在JavaScript代碼中的漏洞。
防御方式
對(duì)輸入的數(shù)據(jù)做過(guò)濾處理吧碾。
2.CSRF攻擊
攻擊者通過(guò)跨站請(qǐng)求凰盔,以合法用戶的身份進(jìn)行非法操作,如轉(zhuǎn)賬交易倦春、發(fā)表評(píng)論等户敬。CSRF的主要手法是利用跨站請(qǐng)求,在用戶不知情的情況下睁本,以用戶的身份偽造請(qǐng)求尿庐。其核心是利用了瀏覽器Cookie或服務(wù)器Session策略,盜取用戶身份呢堰。
CSRF為什么能夠攻擊成功屁倔?其本質(zhì)原因是重要操作的所有參數(shù)都是可以被攻擊者猜測(cè)到的。
防御方式 具體操作
header 加 Token 表單Token通過(guò)在請(qǐng)求參數(shù)中增加隨機(jī)數(shù)的辦法來(lái)阻止攻擊者獲得所有請(qǐng)求參數(shù)(?)
驗(yàn)證碼 暴力防御方式暮胧,用戶體驗(yàn)差
請(qǐng)求地址驗(yàn)證 ip校驗(yàn)
Spring Security锐借、Struts2等Java框架都已經(jīng)內(nèi)置提供了CSRF的防御機(jī)制。
三往衷、服務(wù)端攻擊
1.SQL注入
攻擊者在HTTP請(qǐng)求中注入惡意SQL命令(如:drop table users;)钞翔,服務(wù)器用請(qǐng)求參數(shù)構(gòu)造數(shù)據(jù)庫(kù)SQL命令時(shí),惡意SQL被一起構(gòu)造席舍,并在數(shù)據(jù)庫(kù)中執(zhí)行布轿。
防御方式
使用預(yù)處理 PreparedStatement。
使用正則表達(dá)式過(guò)濾掉字符中的特殊字符来颤。
目前許多數(shù)據(jù)訪問(wèn)層框架汰扭,如IBatis,Hibernate等福铅,都實(shí)現(xiàn)SQL預(yù)編譯和參數(shù)綁定萝毛,攻擊者的惡意SQL會(huì)被當(dāng)做SQL的參數(shù),而不是SQL命令被執(zhí)行滑黔。
2.DoS攻擊
DoS 是 Denial of Service 的簡(jiǎn)稱笆包,即拒絕服務(wù)环揽,造成 DoS 的攻擊行為被稱為 DoS 攻擊,其目的是使計(jì)算機(jī)或網(wǎng)絡(luò)無(wú)法提供正常的服務(wù)庵佣。
防御方式 具體操作
驗(yàn)證碼 暴力防御方式歉胶,用戶體驗(yàn)差
限制請(qǐng)求頻率 Yahoo算法,根據(jù)IP地址和Cookie等信息巴粪,可以計(jì)算客戶端的請(qǐng)求頻率并進(jìn)行攔截通今。
————————————————
版權(quán)聲明:本文為CSDN博主「IT小村」的原創(chuàng)文章,遵循CC 4.0 BY-SA版權(quán)協(xié)議肛根,轉(zhuǎn)載請(qǐng)附上原文出處鏈接及本聲明衡创。
