WEB安全问题

WEB安全问题我没太多经验,但是这块内容还是很重要,所以必须要了解学习一下。

简单总结了一下,分成以下5类,

    1.DDOS,瘫痪式攻击,解决方法是记录异常请求的ip地址,主动拒绝或者将攻击ip添加到防火墙黑名单里。

    2.系统漏洞攻击,比如前一段时间的Struts漏洞,或者Windows系统漏洞,这个是系统层面的,只有靠及时打补丁。

    3.SQL注入,这个很常见,一般通过避免SQL拼接,对输入进行严格校验,检查程序注入点等方式来解决。

    4.XSS,恶意代码注入,比如BBS,其他用户在查看被注入的文章时会受到影响,比如收集用户cookie信息等。

    5.CSRF,跨站请求伪造,危险程度更高,比如我登录了WebQQ,又登录一个恶意网站,该恶意网站可以伪造WEBQQ协议,请求添加好友,甚至删除好友

XSS的方式很多,script标签是最常规的,很容易过滤,img的onload事件,在a href里面写javascript:alert(),还有更防不胜防的unicode转码

$('div:first').html('\u003c\u0073\u0063\u0072\u0069\u0070\u0074\u003e\u0061\u006c\u0065\u0072\u0074\u0028\u0022\u0078\u0073\u0073\u0022\u0029\u003c\u002f\u0073\u0063\u0072\u0069\u0070\u0074\u003e');
XSS的除了上面的几种见招拆招外,我再想想有没有别的思路。unicode转码部分我试了一下,确实生成了script标签但是没有弹出alert,不知道是不是浏览器对此作了处理。
 
再说CSRF,这个危害程度太大了,我首先想到的通过http referer来判断请求来源,除此之外就是想办法拒绝构造的请求,比如用户激活输入框申请一个提交令牌,判断用户输入间隔和输入内容长度是否合理。
posted @ 2013-09-18 08:43  web 的世界  阅读(492)  评论(0编辑  收藏  举报