web安全

  一.跨站脚本攻击(XSS):通过HTML注入,插入恶意的脚本

    类型1:反射型XSS:将用户的输入反射给浏览器,比如alert()

    类型2:存储型XSS:将包含JS的博客文章存入数据库,所有访问该博客的人都会执行JS脚本

  二.XSS进阶

    1.XSS Payload:通过XS攻击控制用户的浏览器,最常见的是读取浏览器的Cookie,发起.Cookie劫持.攻击

    2.XSS钓鱼,伪造登录框,诱使用户输入账号密码

  三.XSS防御

    1.Cookie设置HttpOnly属性,防止Cookie劫持

    2.对输入进行检查,过滤特殊字符,敏感字符如<script>,重灾区在富文本编辑器.网上有开源的过滤器

  四.跨站点请求伪造(CSRF):黑客知道请求链接,伪造一个页面,诱使用户访问,点击链接,以用户的身份发送请求

  五.CSRF防御

    1.验证码

    2.token

  六.点击劫持:黑客使用透明的iframe覆盖在网页上,诱使用户点击某个地方.

  七.flash点击劫持:通过制作flash游戏,诱使用户完游戏,点击某些地方,最终控制用户的摄像头

  八.SQL注入:防御方法是使用预编译语句

  九.XML注入

  十.拒绝服务攻击(DDOS):利用合理的请求占用系统资源,导致其他的请求被拒绝.

    应用层的DDOS:CC攻击,对消耗资源大的请求不断发送正常请求:防御:限制访问频率,验证码

  十一.Slowloris攻击:以极地的速度发送HTTP请求

  十.文件上传钓鱼

   1.上传文件的目录设置为不可执行

    2.随机改写文件名

    3.判断文件类型

   密码学的基本原则:密码系统的安全性应该依赖密钥的复杂性,而不应该依赖算法的保密性.

    

posted @ 2017-08-16 23:07  我_会飞的鱼  阅读(160)  评论(0编辑  收藏  举报