欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页

网站攻击常见的几种方式

程序员文章站 2024-03-14 10:58:16
...

1、xss攻击:跨站脚本攻击,在网页中嵌入恶意脚本,盗取客户端cookie、用户名、密码等;
例:##原始表单

	<input type="text" name="firstname" value=""/><script>alert("longlong")</script><!-- "/>##输入恶意脚本对输入做处理
	页面会显示longlong的告警显示

2、csrf攻击:跨站请求伪造,一般是利用cookie
一般场景:1、User登录信任站点A,得到本地Cookie;
2、User没推出站点A,通过站点A访问了恶意站点B;
防御一般手段:1、将cookie设置为HttpOnly;
2、在http请求中以参数的形式增加Token;
3、不在Rerfer用于身份验证或其他重要检查,容易在客户端被改变
3、文件上传漏洞:webshell、跨站脚本攻击都属于植入木马;WEB网站对文件类型没有严格的校验导致,预防需要对上传文件类型进行白名单校验,或限制文件大小。
4、SQL注入攻击:把SQL命令伪装成正常的HTTP请求参数,传递到服务端;
String sql = “select * from user where nick = '” + nickname + “’ and password = '” + password + “’”;
Statement st = (Statement) conn.createStatement();
ResultSet rs = st.executeQuery(sql);
例输入:
select * from user where nick = ‘zhangshan’ and password = ‘’ or ‘1’ = ‘1’;

POST表单攻击,可以直接在url中添加:
or 1=1 #
or 1=1
kobe ‘–+’

5、DDos攻击:分布式服务攻击;
一、SYN flood:制造大量无效IP与目标主机建立TCP链接,占用系统资源;利用TCP三次握手异常处理机制,服务端多次进行SYN+ACK重试;
二、DNS query flood:伪造无线域名,发送目标服务器解析,导致DNS解析域名超时;

本文为博主自己记录知识用途,有错请指出,谢谢。