web攻擊

一、dos攻擊

       向服務器發送數量龐大的合法數據,讓服務器分不清是不是正常請求,導致服務器接收所有的請求。海量的數據請求會使得服務器停止服務和拒絕服務。

      防禦:阿里云或其它資源服務器有專門web應用防火墻

                 自己的服務器需要相關的設置

二、sql注入攻擊

       向web連接的數據發送惡意的sql'語句,使得用戶逃過驗證和私密信息洩露。

       防禦:  過濾表單,驗證表單的合法性,對表單數據進行轉義處理;

       盡量縮小用戶權限

      使用參數查詢接口,不要直接拼接sql語句(T-SQL:SQL 程序设计语言的增强版,它是用来让应用程式与 SQL Server 沟通的主要语言。)

三、跨站請求偽造(CSRF)

      通過設置陷阱,使得已經完成驗證的用戶強制修改信息或者設定信息。 就是用戶盜用了你的用戶信息,使用你的信息發送請求。

      防禦:敏感驗證使用驗證碼

                使用token

                驗證http Referer字段

                在請求中增加token驗證

                在http頭部自定義token并驗證。

四、xss(跨站腳本攻擊)

      通過完成註冊的網站用戶的瀏覽器內運行非法的html和javascript腳本,從而達到攻擊的目的。

      防禦:對敏感信息使用httponly,使得cookie信息不被盜取  

                 對用戶輸入信息要進行轉義springEscapeutils

五、上傳漏洞

         攻擊者將腳本文件冒充image文件上傳,從而進行攻擊

      防禦:限制文件類型

                採用第三方託管

https://baijiahao.baidu.com/s?id=1570688166426810&wfr=spider&for=pc

https://blog.csdn.net/zyw_anquan/article/details/22178821

https://blog.csdn.net/m18633778874/article/details/78946852

 https://blog.csdn.net/lyw_lyw/article/details/79566642

https://www.cnblogs.com/Echoer/p/4781664.html

https://blog.csdn.net/lidiya007/article/details/52875712

https://www.cnblogs.com/Miss-mickey/p/6636813.html?utm_source=tuicool&utm_medium=referral

https://jingyan.baidu.com/article/54b6b9c0a5d1d22d583b4700.html

https://blog.csdn.net/imhxl/article/details/52775512

https://blog.csdn.net/shenqueying/article/details/79426884

 

posted @ 2019-03-14 16:58  web前端日志  阅读(170)  评论(0编辑  收藏  举报