隨著互聯網的普及與發展,網絡安全變得越來越重要,程序員需要掌握最基本的網絡安全防範,下面會
列出常見的幾類安全漏洞,及相應的防範措施。1-1:XSS簡介
跨站腳本,簡稱XSS,是web應用中經常出現的一種計算機安全漏洞,也是web中最主流的攻擊方法。
XSS是指惡意攻擊者利用網站不轉義用戶提交的數據,或者是擁有過濾不足的缺點,然後順便在網頁中添加一些代碼,讓其他用戶在訪問時執行相應的嵌入代碼。
1-2:XSS攻擊的危害
- 竊取用戶信息,如:登錄賬號、網上銀行賬號等
- 使用用戶權利身份來標識、讀取、篡改、添加、刪除數據,等等
- 盜竊具有商業價值的材料
- 非法轉賬
- 惡意電子郵件
- 網站掛馬
- 控制受害機器對其他站點發起攻擊
1-3:防止XSS解決方案
XSS的根本原因是它沒有完全過濾客戶端提交的數據,所以重點是過濾用戶提交的信息。將重要的cookie標記為http>
只允許用戶輸入我們期望的數據。例如,年齡只允許用戶輸入一個數字,除數字外的所有字符都會被過濾掉。對數據進行Html Encode編碼處理:當用戶提交數據時,用Html進行編碼,將對應的符號轉換為實體名稱,然後進行下一步處理。
過濾或移除特殊的Html標籤。過濾js事件的標籤。例如 "onclick=", "onfocus" 等。
2-1:CSRF簡介
跨站請求偽造(Cross -site request forgery),也稱為“一鍵攻擊”Session Riding”,通常縮寫為CSRF或XSRF,是對網站的惡意使用
XSS主要利用站點內的可信用戶,而
CSRF則通過偽裝來自可信用戶的請求來利用可信站點。CSRF比XSS攻擊更危險。2-2:CSRF攻擊的危害
主要的危害來自於攻擊者竊取用戶的身份併發送惡意請求。例如:模擬用戶發送郵件、發送消息以及支付、進行轉賬等等。
2-3:防止CSRF的解決方案
重要的數據交互使用POST來接收,當然POST不是萬能的,偽造Form表單是可以破解的。只要涉及到數據交互,首先驗驗證碼,這種方法就可以完全解決CSRF。
但出於用戶體驗的考慮,網站不能在所有操作中都使用驗證碼。因此,驗證碼只能作為輔助手段,不能作為主要解決方案。
驗證HTTP Referer字段,該字段記錄HTTP請求的源地址。最常見的應用是圖像防盜鏈接。添加一個令牌token的同時並驗證每個表單。
3-1:SQL注入漏洞簡介
SQL注入是最常見的網絡攻擊之一,主要是通過在Web表單提交或輸入域名或頁面請求查詢字符串中插入SQL命令來實現無帳號登錄,甚至篡改數據庫。
3-2:SQL注入的危害
- 數據庫信息洩露:洩露存儲在數據庫中的用戶隱私信息;
- 篡改網頁:操作數據庫篡改特定網頁;
- 惡意操作數據庫:攻擊數據庫服務器,篡改數據庫系統管理員帳號;
- 服務器被遠程控制和安裝後門;
- 刪除和修改數據庫表信息。
3-3:SQL注入的方式
通常,SQL注入的位置包括:
- 表單提交,主要是POST請求,也有GET請求;
- URL參數提交,主要獲取請求參數
- Cookie參數提交
- HTTP請求頭的一些可修改值,如Referer、User_Agent等。
3-4:防止SQL注入的解決方案
- 驗證用戶的輸入,並使用正則表達式篩選傳入參數。
- 使用參數化語句,不連接SQL,或使用安全存儲過程。
- 不要使用具有管理員權限的數據庫連接。為每個應用程序使用具有有限特權的數據庫連接。
- 檢查數據存儲類型;
- 重要信息必須加密;
4-1:DOS攻擊和DDOS簡稱
拒絕服務攻擊(Denial of Service ):由於網絡安全防護措施不足,導致用戶無法繼續使用正常服務的攻擊。可以稱為拒絕服務攻擊,是因為它的目的是網絡或計算機通過消耗網絡寬帶或系統資源,從而無法提供正常的服務。
分佈式拒絕服務攻擊,簡稱DDOS,(Distributed Denial of Service)是一種分佈式拒絕服務攻擊,攻擊者控制網絡上的傀儡主機,對目標主機發起拒絕服務攻擊。
4-2:DDOS的危害
造成客戶業務不能使用,金錢利益的損失;客戶網絡一項業務受到攻擊,聯網全面被封鎖,所有業務癱瘓,連鎖反應嚴重;攻擊造成的政治影響和輿論壓力會給企業帶來巨大的聲譽損失。
4-3:如何防禦DDOS攻擊
- 及時更新系統補丁
- 安裝殺毒軟件和硬件,及時更新病毒庫
- 設置複雜的密碼,減少系統控制的可能性
- 關閉不必要的端口和服務
- 網絡漏洞經常被發現,問題被及時發現並修復。
- 對於重要的web服務器可以建立多個鏡像來實現負載均衡,在一定程度上可以降低DDOS的危害
總之就是既要做好過濾與編碼並使用參數化語句,也要把重要的信息進行加密處理,這樣漏洞才能更好地被防範。
以上說的這幾類攻擊還有防禦方式並不是能完全抵擋住所有的和規模大的網絡攻擊,但是會有一定的輔助效果,能起到一定的的作用!
聲明:我們尊重原創者版權,除確實無法確認作者外,均會註明作者和來源。轉載文章僅供個人學習研究,同時向原創作者表示感謝,若涉及版權問題,請及時聯繫刪除!
精彩在後面
在應對日益嚴峻的DDOS、CC攻擊的情況之下,超級盾成功抵禦史上最大2.47T黑客DDoS攻擊,超級盾具有無限防禦DDoS、100%防CC的優勢,最新推出web盾能完全防護CC攻擊,有效保護服務器不被攻擊癱瘓,有意者可以私聊哦!
閱讀更多 亞拉那一發 的文章
