3.1 常见的Web攻击手段
3.1.1 XSS攻击
- XSS 的原理
将用户的 输入项 中嵌入脚本。例如将输入name的输入框中输入 "/><script>alert("haha")</script><!-时。
简单来说就是在内容中嵌入恶意的脚本代码。 - XSS 的防范
发生的根本原因是因为用户输入的数据变成了代码。因此,我们需要对输入进行HTML转义处理。将 尖括号 单引号 引号 之类的特殊字符进行转义编码,如 <
3.1.2 CRSF攻击 : 跨站请求伪造 cross site request forgery
- 攻击原理
恶意网站B伪造正常网站A的请求,并利用A站的cookie信息完成验证。如果用户之前访问过A站,有正常的cookie,并且没有通过 退出登录 来清理cookie,就容易受到攻击。 - 防御
1.添加不保存在cookie中的信息,如token。 2.将cookie设置为 HttpOnly。3.通过Rrefer 识别
3.1.3 SQL注入攻击
3.1.5 DDos攻击:分布式拒绝服务攻击 Distribute Denial of Service
- Dos
先从Dos说起。是利用合理的客户端请求来占用大量服务端资源,从而使其它合法用户无法得到服务器响应。 - 常见的DDos攻击手段
1.SYN Flood
伪造大量的IP地址给服务器发送SYN报文,但是因为IP是伪造的,服务器肯定得不到客户端的响应,造成服务器要维护大量的半连接。这样新的syn请求就会被拒绝。
2.DNS Query Flood
伪造大量不存在的域名,让DNS服务器解析域名超时。
- CC攻击
- 又名 HTTP Flood
通过大量的http代理,模拟用户请求,并特意绕过cdn及缓存,特意请求大量数据,造成多次db查询等,耗尽服务器资源。
