大型网站技术架构--安全

XSS 攻击

XSS跨站的脚本攻击,指黑客通过篡改网页,注入恶意HTML脚本,在用户浏览是,控制用户浏览器的恶意行为。

常见的类型:

    1.反射型:攻击者诱使用户点击一个嵌入恶意脚本的链接,达到攻击的目的。发布者发布一个含有恶意脚本的url,被点击后就会被执行。

      可以偷取用户Cookie,密码等重要数据。

    2. 持久型:用户提交含有恶意脚本的请求,保存在被攻击者的数据库里,用户浏览网页时,恶意脚本被包含在正常 的页面中,达到攻击的目的。

    Xss攻击相对 古老,却又不断创新,攻击手段花样多端。 因此Xss方攻击手段也非常复杂:

    1. 消毒:  对html危险字符转义,如“>”转义为“&gt”,“<”转义为“&lt”等。为了防止错误转义,一般进行语义匹配如“<img src=”,消毒是几乎所有网站的必备的XSS攻击手段。

    2.HttpOnly: 对Cookie加HttpOnly属性,浏览器就会禁止页面JS访问Cookie。

注入攻击

    SQL注入 防

    攻击者了解数据结构的情况下,了解方式有,开源,错误信息(错误页面,异常信息),盲注(错误提示)

    预防

    1.消毒:屏蔽敏感信息的输入 如 “drop tabel”,“\b(?:update\b.*?\bset|delete\b\W*?\bfrom)\b"

     2.参数绑定:使用预编译手段,参数绑定是最好的防SQL注入的方式。 如IBatis,Hibernate等。

    OS注入   

    通过OS命令,编程语言等,利用程序漏洞,达到攻击目的

CSRF攻击    









你可能感兴趣的:(大型网站技术架构--安全)