摘要:
1、拒绝服务DOS 模拟正常用户,大量占用服务器资源,让正常用户无法正常访问 攻击形式:TCP半连接,HTTP连接,DNS 大规模分布式拒绝服务攻击DDOS 流量可达到即使到上百G 分布式(肉鸡、代理) 极难防御 DOS攻击防御:防火墙、交换机、路由器、流量清洗、高防IP 代码层面预防DOS攻击: 阅读全文
摘要:
上传问题过程: 1、上传文件 2、再次访问上传文件 3、上传的文件被当成程序解析 上传问题的防御: 1、限制上传后缀 2、文件类型检查 3、文件内容检查 4、程序输出,将文件读取到内存中直接输出给用户,不能让用户直接访问文件,消耗服务器性能。 5、权限控制,可写可执行互斥 阅读全文
摘要:
一、SQL注入 类似于XSS攻击,只不过输入的数据变成SQL程序执行的一部分。 SQL注入危害: 1、猜解密码 2、获取数据 3、删库删表 4、拖库 SQL注入的防御: 1、关闭错误输出 2、检查数据类型 3、对数据进行转义 4、使用参数化查询 5、使用ORM(对象关系映射),就是将数据库表映射到程 阅读全文
摘要:
密码泄漏渠道: 1、数据库被偷 2、服务器被入侵 3、通讯被窃听 4、内部人员泄漏数据 5、其他网站(撞库) 防止泄漏方式: 1、存储上的措施: (1)严禁明文存储 (2)单向变换,不能解密反推出原密码 单向变化常用方式——哈希算法 哈希算法特征: 1.明文和密文意义对应 2.雪崩效应,一个字符不同 阅读全文
摘要:
一、HTTP传输窃听 原理是http是明文传输,所以中间链路可以进行窃听和篡改。 linux和mac可以使用traceroute命令查看访问某网站中间链路经过的服务器 windows可以使用tracert命令来查看访问某网站中间链路经过的服务器 防御手段: 采用https协议,增加TLS(SSL)加 阅读全文
摘要:
点击劫持特点: 用户亲自操作 用户不知情 实现原理: 利用iframe,在攻击网站让用户点击隐藏的iframe目标页面。 防御策略: 1、Javascript禁止内嵌,利用top对象和window对象判断是否被嵌套,然后页面进行跳转。 正常页面top对象和window对象是相等的 被iframe嵌入 阅读全文
摘要:
一、Cookies特性 1、前端数据存储 2、后端通过http头设置 3、请求时通过http头传给后端 4、前端可读写 5、遵守同源策略 二、Cookies内容 1、域名 2、有效期,删除cookies是通过更改有效期来实现 3、路径,可以设置指定页面路径层级使用 4、http-only,只提供给h 阅读全文