常见的网络攻击技术


XSS 攻击

跨站脚本攻击(Cross Site Scripting),就是攻击者在web页面插入恶意的script代码(这个代码可以是JS脚本、CSS样式或者其他意料之外的代码),当用户浏览该页面之时,嵌入其中的script代码会被执行,从而达到恶意攻击用户的目的。比如读取cookie,session,tokens,或者网站其他敏感的网站信息,对用户进行钓鱼欺诈等。

常见的 XSS 攻击有反射型和持久型。

反射型

image-20211127151739233

可以使用 http-only 让恶意脚本获取不到cookie,或者用一些转义字符,比如<转义为&lt, >转义为&gt 。

持久型

image-20211127152013556

CSRF 攻击

跨站请求伪造(Cross-site request forgery),攻击者盗用了你的身份,以你的名义发送恶意请求,比如发消息,盗取你的账号,甚至于购买商品。

image-20211127152638167

预防攻击:

1、cookie设置为HttpOnly,js脚本就无法窃取cookie。

2、随机token:返回一个页面的时候带一个随机token,发送的时候附加随机token,验证通过才执行请求。

3、验证码:比如拼图的,验证成功才能执行请求。

4、Referer请求头:位于http报文中,标识请求的来源的地址,验证这个请求是不是从自己的页面里来的,如果是才执行请求。

DDoS攻击

DDoS攻击(Distributed Denial of Service)中文是分布式拒绝服务。一般来说是指攻击者利用“肉鸡”对目标网站在较短的时间内发起大量请求,大规模消耗目标网站的主机资源,让它无法正常服务。

image-20211127153414035

还有一种SYN Flood模式的DDoS攻击:

image-20211127153543105

SQL 注入

Sql 注入攻击是通过将恶意的 Sql 查询或添加语句插入到应用的输入参数中,再在后台 Sql 服务器上解析执行进行的攻击。

image-20211127153947130

对数据库进行恶意的删除和更改。


文章作者: Gtwff
版权声明: 本博客所有文章除特別声明外,均采用 CC BY 4.0 许可协议。转载请注明来源 Gtwff !
  目录