这是我参与「第五届青训营 」伴学笔记创作活动的第12天

学习内容

攻击

1.XSS 2.CSRF 利用用户权限cookie 构造http请求 窃取修改用户敏感信息 3.DOS构造特定请求 导致服务器资源被显著消耗 雪崩效应 4.DDOS 短时间大量僵尸设备请求 请求堆积无法响应新请求 雪崩效应

防御

xss

动态生成dom string生成dom 对string进行转义 上传svg 对svg进行扫描 Blob 动态生成script 尽量不要让用户自动义样式

CSRF

限制请求来源 origin+referrer判断来源 对之前请求的页面做token标记，验证token数据 cookie只为我自己所用，samesute cookie

injection

beyond sql

• 最小权限原则（sudo||root）
• 建立允许名单+过滤（rm）
• 对url类型参数进行协议、域名、ip等限制（访问内网）

dos

避免写出贪婪匹配

ddos

过滤

• 流量治理
• 负载均衡
• API网关
• CDN 抗量
• 快速自动扩容
• 非核心服务降级

传输层

防御中间人 https的一些特性

总结 1、确保Web应用程序的安全：要防止网络攻击，应该做到以下几点：
（1）建立一套安全策略，在设计、开发和维护Web应用程序时都要遵守这套策略。
（2）应该实施良好的访问控制，只允许获得许可的用户访问系统，并且要求用户使用复杂的口令。 （3）要严格控制系统中的权限，只允许拥有必要权限的用户使用系统。
（4）要确保系统的安全更新，应该定期更新系统的软件和防火墙，以确保系统的安全性。
（5）要加强系统的监控，定期检查系统的运行状况，并及时发现和修复潜在的安全漏洞。
（6）要建立一个安全的数据备份，以防止病毒和其它灾难性事件对系统造成损害。
（7）要定期进行安全审计，以发现和修复系统中的安全漏洞。 上述措施都有助于提高Web应用程序的安全性，为用户提供更安全的环境。