

首页  思维导图  详情



常见web攻击方式

2021-04-25 16:50:06   0  举报





AI智能生成

常见Web攻击方式

web

模版推荐

作者其他创作

大纲/内容

XSS 跨站脚本攻击

攻击方式

URL参数直接注入(通过js, img, iframe等可跨域类型文件触发场景: 构造危险链接, 生成短链接)

存储型(存储到数据库, 目标用户打开特定页面触发. 场景: 博客的评论)

危害

劫持前端逻辑

发送请求

偷取网站任意数据(用户资料, coolies)

欺骗用户等

防范手段

转义

请求头添加 x-xss-Protection

CSP 内容安全策略(建立白名单)

Content-Security-Policy: defalut-src 'self'  只允许加载本站资源

Content-Security-Policy: img-src https://*  只允许添加HTTPS 协议图片

Content-Security-Policy:child-src 'none' 不允许加载任何来源框架

黑名单

转义输入输出的内容

白名单

HttpOnly Cookie

CSRF 跨站请求伪造

攻击方式

利用用户已登录的身份, 在用户不知情的情况下, 以用户名字完成非法操作

危害

盗取用户资金, 损害网站声誉

防范手段

禁止地方法网站带Cookie

Refer Check - https 不发送referer

验证码

点击劫持 clickjacking

攻击方式

将需要攻击的网站通过iframe嵌套的方式嵌入自己的网页中, 并将iframe设置为透明, 在页面中透出一个按钮有道用户点击

防范

X-FRAME-OPTIONS

JS 方式

SQL注入

攻击方式

页面输入  1' or  '1' = '1

sql 拼接结果:  password = '1' or  '1'='1'

防御

参数化查询

OS注入

攻击方式

改写npm包, 加入恶意逻辑, npm包执行时会执行逻辑

防御

下载官方包

请求劫持

攻击方式

DNS劫持

防御

升级HTTPS

DDOS

攻击方式

SYN Flood

HTTP Flood

防御

备份网站

HTTP请求连接

高防IP

靠谱运营商

带宽扩容 + CDN

 Collect

Get Started

Web攻击及防御技术

 Collect

Get Started

TCP/IP攻击方式

 Collect

Get Started

支取方式修改

 Collect

Get Started

Web常见漏洞





0 条评论

下一页