云南龙网

  1. 首页 > 云知道 > >

常见的web攻击方法 web攻击与防御技术实战( 二 )

云知道web


四. 身份认证和会话
黑客在浏览器中停用JS,防止客户端校验,从而进行某些操作 。
防御:
1、隐藏敏感信息 。
2、对敏感信息进行加密 。
3、session 定期失效
五.重定向攻击
一种常用的攻击手段是“钓鱼” 。钓鱼攻击者,通常会发送给受害者一个合法链接,当链接被点击时,用户被导向一个似是而非的非法网站,从而达到骗取用户信任、窃取用户资料的目的 。为防止这种行为,我们必须对所有的重定向操作进行审核,以避免重定向到一个危险的地方.
防御:
将合法的要重定向的url加到白名单中,非白名单上的域名重定向时拒之,第二种解决方案是重定向token,在合法的url上加上token,重定向时进行验证.
六.权限与访问控制
能通过URL参数的修改达到访问他人页面,例如,黑客能够使用一下的链接去访问在某商城上自己的订单链接
https://***.***.com/normal/item.action?orderid=51338221644
这个时候如果网站没有相关权限验证,那么他也能通过下面的链接去访问其他人的订单 。
https://***.***.com/normal/item.action?orderid=其他id
这样子就会造成商城其他人的隐私的泄露 。
防御:
1、添加权限系统,访问的时候可以加上相应的校验 。
七.不安全加密存储
防御:
1、加密存储敏感信息
2、不用md5加密
八.SQL注入
最常见的攻击方式,所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击.
防御:
1、表单过滤,验证表单提交的合法性,对一些特殊字符进行转义处理
2、数据库权限最小化
3、查询语句使用数据库提供的参数化查询接口,不要直接拼接SQL
九.传输层未加密
防御:
1、使用安全的https版本
2、敏感信息使用https传输
3、非敏感信息使用http传输
以上就是“常见的Web攻击和防御总结”的全部内容,如果什么需要欢迎登陆GDCA数安时代官网咨询客服 。

推荐阅读


上一篇:物流快递违规处罚依据 快递新规正式实施

下一篇:笔记本电脑日常保养及事项 笔记本保养常识和技巧