攻击类型
xss攻击
XSS攻击全称跨站脚本攻击,是一种网站攻击受信任用户的脚本攻击;
举例:
网站A有一个输入框,用户A利用这个输入框编写了具有攻击性的代码,并且上传到了服务器,用户B通过网站A浏览页面时,攻击性代码运行,从而达到攻击的目的;
安全防范:
网站服务器做到:上传验证,输出编码
上传验证:前端通过加密的形式上传内容,后端通过解密来验证内容的安全性,防止攻击代码的上传
输出编码:服务器返回数据之前通过特定的编码格式处理,防止攻击代码在信任用户的页面直接运行
CSRF跨站请求伪造
CSRF是一种对网站的恶意利用,攻击者通过伪装向服务器发起请求,欺骗服务器,从而达到攻击的目的;
举例:
网站A是一个正式网站,用户B是网站A的信任用户,用户B登录网站后保存信任凭证在cookie,攻击者通过一些手段获取到这个cookie,然后利用cookie向服务器发送非法请求,因为cookie的存在,这些请求在服务器看来都是合法的;
安全防范:
通过加密形式生成特定的参数,并携带在请求中(自定义请求头或者自定义参数),服务器通过验证该参数来判断请求是否来着信任的用户;
sql注入
sql注入是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令
举例:
某网站的登录页面,用户输入用户名或者密码时输入 “-- 攻击性sql语句”,如果服务器端没有处理,-- 符号会在执行sql语句时把原来的代码注释,从而执行用户输入的代码
安全防范:
前端在输入框是应该严格验证用户输入内容格式和长度;服务器端做好相应的防范
上传漏洞
上传漏洞是指用户通过上传功能,把攻击性文件上传到服务器,就是通常说的木马
安全防范
前端上传时验证文件的后缀名称,但是前端验证不能完全防范上传漏洞,攻击者可以通过插件或者代码绕过前端的验证,所以需要服务器端的配合