网络攻击

Ariel_Bo
247 阅读2分钟
1. 网络攻击分的种类:
    1. CSRF
    1. XSS
2. CSRF的基本概念和缩写
  • CSRF,通常称为跨域请求伪造,英文名:Cross-site request forgery 缩写CSRF
3. csrf防御:
  • a: 通过referer token或者验证码来检测用户提交
  • b: 尽量不要在页面的链接中暴露用户的隐私信息
  • c: 对于用户的修改删除等操作最好都使用post操作
  • d: 避免安全站通用的cookie,严格设置cookie的域

二:xss
  • 1.xss表示Cross Site Scripting(跨站脚本攻击),它与SQL注入攻击类似,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在xss攻击中,通过插入恶意脚本,实现对用户游览器的控制。
防范措施
  • 一种方法是在表单提交或者url参数传递前,对需要的参数进行过滤,请看如下XSS过滤工具类代码
三. 根据XSS攻击的效果可以分为几种类型

第一、XSS反射型攻击,恶意代码并没有保存在目标网站,通过引诱用户点击一个链接到目标网站的恶意链接来实施攻击的。

第二、XSS存储型攻击,恶意代码被保存到目标网站的服务器中,这种攻击具有较强的稳定性和持久性,比较常见场景是在博客,论坛等社交网站上,但OA系统,和CRM系统上也能看到它身影,比如:某CRM系统的客户投诉功能上存在XSS存储型漏洞,黑客提交了恶意攻击代码,当系统管理员查看投诉信息时恶意代码执行,窃取了客户的资料,然而管理员毫不知情,这就是典型的XSS存储型攻击。

avatar
文章
阅读
粉丝