首頁技術(shù)文章正文

web頁面攻擊分為幾類?可以提供幾種解決方案嗎?

更新時間:2021-01-22 來源:黑馬程序員 瀏覽量:

1577370495235_學(xué)IT就到黑馬程序員.gif

  WEB基本攻擊大致可以分為三大類—— “資源枚舉”、“參數(shù)操縱” 和 “其它攻擊”

  資源枚舉:遍歷站點所有可訪問的目錄,然后把一些常見的備胎文件名(比如“sql.bak”、“index-副本.html”)一個個都枚舉一下,如果運氣好枚舉到了就直接下載。

  參數(shù)操縱:包括了SQL注入、XPath注入、cgi命令執(zhí)行,還有XXS和會話劫持等,xxs攻擊指的是惡意攻擊者往Web頁面里插入惡意html代碼,當(dāng)用戶瀏覽該頁之時,嵌入的惡意html代碼會被執(zhí)行,從而達(dá)到惡意用戶的特殊目的

  cookie劫持:通過獲取頁面的權(quán)限,在頁面中寫一個簡單的到惡意站點的請求,并攜帶用戶的cookie,獲取cookie后通過cookie 就可以直以被盜用戶的身份登錄站點

1611304423276_Web頁面安全性.gif

  解決方案:

  永遠(yuǎn)不要相信客戶端傳來的任何信息,對這些信息都應(yīng)先進(jìn)行編碼或過濾處理

  謹(jǐn)慎返回用戶輸入的信息

  使用黑名單和白名單處理(即“不允許哪些敏感信息”或“只允許哪些信息”,白名單的效果更好但局限性高)

  檢查、驗證請求來源,對每一個重要的操作都進(jìn)行重新驗證

  使用SSL防止第三方監(jiān)聽通信(但無法阻止XSS、CSRF、SQL注入攻擊)

  不要將重要文件、備份文件存放在公眾可訪問到的地方

  會話ID無序化

  對用戶上傳的文件進(jìn)行驗證(不單單是格式驗證,比方一張gif圖片還應(yīng)將其轉(zhuǎn)為二進(jìn)制并驗證其每幀顏色值<無符號8位>和寬高值<無符號16位>)

  WSDL文檔應(yīng)當(dāng)要求用戶注冊后才能獲取




猜你喜歡:

webpack體積怎么優(yōu)化?有哪些方法?

前端BFC是什么?【web前端培訓(xùn)】

Web網(wǎng)頁設(shè)計師需要具備哪些能力?

黑馬程序員web前端培訓(xùn)課程

分享到:
在線咨詢 我要報名
和我們在線交談!