常见的web攻击有什么?
Web服务可以认为是一种程序,它使用HTTP协议将网站中的文件提供给用户,以响应他们的请求。这些请求由计算机中的HTTP客户端转发。为Web服务提供硬件基础的专用计算机和设备称为Web服务器。从这种网络设计中可以看到,Web服务器控制着大量信息。如果一个人拥有进入Web服务器修改数据的能力,那他就可以对该Web服务器所服务的信息和网站做任何他想做的事情。有以下七种常见攻击:
1.目录遍历攻击 - 此类攻击利用Web服务器中的漏洞来未经授权地访问不在公共域中的文件和文件夹。一旦攻击者获得访问权限,他们就可以下载敏感信息,在服务器上执行命令或安装恶意软件。
2.拒绝服务攻击 - 借助此攻击类型,Web服务器将会无法被合法用户访问,一般表现为超时,崩溃。这通常被攻击者用于关闭具有特定任务的服务器。
3.域名劫持 -在此攻击中,攻击者更改DNS设置以重定向到他自己的Web服务器。
4.嗅探 - 在没有加密的情况下,通过网络发送的数据可能会被截获。通过对数据的分析攻击者可能会获得对Web服务器的未授权访问或身份伪造的能力。
5.网络钓鱼 - 这是一种将真实网站克隆到虚假网站的攻击,用户不知道他们是否在真实的网站上。这种攻击通过欺骗用户来窃取敏感信息,如登录密码、银行卡详细信息或任何其他机密信息。
6.域欺骗 - 在此攻击中,攻击者会破坏域名系统(DNS)或用户计算机,以便将流量定向到恶意站点。
7.Web破坏 - 通过这种类型的攻击,攻击者用自己的页面替换组织的网站。这种情况下,无论攻击者想在网站上取代什么,他都可以在这次攻击中做到。
如果遇到攻击却没有一个专业的程序员维护,网站会经常性的出现很多问题,网页打开缓慢、延迟、打不开甚至死机,因此流失很多客户。
推荐杭州超级科技的超级盾!主要针对HTTP/HTTPS类Web业务的全球分布式云防御产品。具有DDoS防御、CC防御、云WAF等功能。客户自身不需要在本地部署任何安全设备,只需采用CNAME替换网站A记录、或高防IP方式即可快速接入我们的服务。超级盾(WEB版)智能DNS能快速调度到全球离客户最近的清洗中心,具有智能路由、智能加速的特性。
web攻击技术有哪些
(1)XSS (跨站脚本攻击):指通过存在安全漏洞的Web网站注册用户的浏览器内运行非法的HTML标签或者JavaScript进行的一种攻击。
(2)SQL注入攻击
(3)CSRF(跨站点请求伪造):指攻击者通过设置好的陷阱,强制对已完成的认证用户进行非预期的个人信息或者设定信息等某些状态更新。
web常见的攻击方式有哪些,如何避免。
原理:1.登录受信任网站A,并在本地生成Cookie。
2.在不登出A的情况下,访问危险网站B,引诱点击链接,实际上是调用A网站的链接,或者是接口地址,利用A的cookie未失效。
触发条件:A网站存在漏洞,用户在A网站登录过且cookie未失效
预防:token认证,访问网站,登录成功后,服务器生成token,存放在cookie里,session,或者本地,在访问接口的时候要求把token带上,到服务器端在验证(token最好是随机的,不可预测的)
referer认证,页面来源(在hearder里),服务器判断是否是本站点下的页面,如果不是直接拦截。
XSS:跨站脚本攻击,不需要登录,向网站注入脚本(盗用cookie,改变页面的dom结构,重定向链接)。
博客网站,攻击者在上面发了一篇文章,内容是scriptwindow.open(“”+document.cookie)/script浏览器运行非法的html 标签/Javascript,用户下次访问就会把cookie发送到攻击者的服务器上。
预防:将输入的数据进行转义处理,比如说讲 转义成lt
SQL注入:sql语句伪造参数,
最常见的就是:' or '1'= '1。这是最常见的sql注入攻击,当我们输如用户名 jiajun ,然后密码输如'or '1'= '1的时候,我们在查询用户名和密码是否正确的时候,本来要执行的是select * from user where username='' and password='',经过参数拼接后,会执行sql语句 select * from user where username='jaijun' and password=' ' or ' 1'='1 ',这个时候1=1是成立,自然就跳过验证了。
预防:接口可以对采纳数进行转义,密码什么的敏感信息要加密
SYN Flood ,简单说一下tcp三次握手,客户端先服务器发出请求,请求建立连接,然后服务器返回一个报文,表明请求以被接受,然后客户端也会返回一个报文,最后建立连接。那么如果有这么一种情况,攻击者伪造ip地址,发出报文给服务器请求连接,这个时候服务器接受到了,根据tcp三次握手的规则,服务器也要回应一个报文,可是这个ip是伪造的,报文回应给谁呢,第二次握手出现错误,第三次自然也就不能顺利进行了,这个时候服务器收不到第三次握手时客户端发出的报文,又再重复第二次握手的操作。如果攻击者伪造了大量的ip地址并发出请求,这个时候服务器将维护一个非常大的半连接等待列表,占用了大量的资源,最后服务器瘫痪。
预防:增加服务器带宽。
0条大神的评论