常见攻击方式
CSRF(跨站请求伪造)
• 攻击方式:攻击者诱导用户在已登录的情况下,访问恶意网站,利用用户的身份(Cookie)向目标网站发送非预期请求(如转账、修改信息)。
• 解决方法:
◦ 验证Referer/Origin:服务器检查请求的来源域名,只允许可信域名的请求。
◦ 使用CSRF Token:前端请求时携带服务器生成的随机Token(如隐藏表单字段、请求头),服务器验证Token有效性。
◦ SameSite Cookie:设置Cookie的SameSite=Strict或Lax,限制跨站请求携带Cookie。
• SQL注入攻击:攻击者通过在用户输入或其他数据源中注入恶意SQL语句,以获取或篡改数据库中的敏感信息。例如,攻击者可能尝试通过登录表单注入SQL语句,绕过登录验证,直接获取系统权限。
• 跨站脚本攻击(XSS):攻击者将恶意脚本注入到网页中,当用户访问该网页时,浏览器会执行这些恶意脚本,从而窃取用户信息、执行非法操作等。分为反射型XSS、存储型XSS和DOM型XSS等。
• 暴力破解攻击:攻击者使用自动化工具尝试大量的用户名和密码组合,以猜测合法用户的登录凭证,从而获取系统访问权限。
• DDoS攻击(分布式拒绝服务攻击):攻击者通过控制大量的计算机(僵尸网络)向目标服务器发送海量请求,导致服务器资源耗尽,无法正常处理合法用户的请求,从而使网站瘫痪。
防御方法
• 针对SQL注入攻击:使用参数化查询或存储过程,对用户输入进行严格的过滤和验证,限制数据库权限,对数据库进行备份。
• 针对跨站脚本攻击(XSS):对用户输入和输出进行严格的过滤和转义,避免在页面中直接输出未经过滤的用户输入,使用Content - Security - Policy(CSP)等安全策略。
