安全测试XSS、CSRF、SQL注入、DDoS攻击

  • XSS

XSS(Cross Site Script):跨站脚本攻击。恶意攻击者在网页中嵌入恶意脚本,当用户打开 网页时,脚本程序便开始在客户端的浏览器上执行,以盗取客户端cookies、用户名密码、下载执行木马程序,甚至是获取客户端admin权限等。

例如:输入框提交时,通过特殊字符自动嵌入攻击者脚本

防范措施:
对输入的字符进行HTML转义处理,将其中的“尖括号”,“单引号”,“引号”等特殊字符进行转义编码。

  • CSRF
    CSRF(Cross Site Request Forgery)跨站请求伪造。XSS利用的是站点内的新人用户,而CSRF则是通过伪装来自授信任用户的请求来利用授信任的网站。CSRF攻击者盗用了用户的身份,以用户的名义向第三方网站发送恶意请求。比如发邮件,发信息,进行交易转账,甚至盗用你的账号。
    站点A:存在CSR漏洞的网站
    站点B:恶意攻击者
    用户C:受害者
  1. 用户C浏览并登陆了授信任网站A
  2. 验证通过后,浏览器生成站点的Cookie
  3. 用户C未退出A,直接访问站点B
  4. 站点B带着步骤2的Cookie信息去访问站点A

CSRF的防御:
1.将cookie设置为HttpOlny
2.增加token
3.通过referer识别

备注:Referer记录该HTTP请求的来源地址。可标记内外媒,用户用户数据统计。

  • SQL注入

SQL注入防范
1.使用预编译语句;
2.使用ORM框架;

  • DDoS攻击
    DDoS(分布式拒绝服务器攻击),利用合理的客户端请求来占用过多的服务器资源。攻击者借用公共网络,将数量庞大的计算机设备联合起来作为攻击平台,对一个或多个目标进行攻击。

1.SYN Flood
利用TCP协议的三次握手,攻击者伪造大量的IP给服务器发送报文,由于伪造的IP大部分在网络中不存在,占用服务器大量的资源,甚至导致很多服务器请求在等待队列。
2.DNS Query Flood
想被攻击的服务器发送海量的域名解析请求。伪造的ip:port服务器上没有缓冲,向上层DNS服务器上递归查询,直到大量的域名解析超时。
3.CC攻击
基于应用层HTTP协议发起的DDos攻击,也被称为HTTP Flood。攻击者在互联网上搜寻大量匿名的HTTP代理,模拟正常用户给网站发起请求直到该网站拒绝服务为止。大部分网站会通过CDN以及分布式缓存来加快服务器响应,提升网站的吞吐量,而攻击者发送的HTTP请求会有意识的避开缓存,去查询DB,导致拖垮服务器。

你可能感兴趣的:(安全)