7.CSRF攻击和文件上传漏洞攻击
一.CSRF攻击及防范措施
1.概念
-
请求来源于其他网站,请求并不是用户的意愿,而是伪造的请求,诱导用户发起的请求
2.场景
-
攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你的名义发送邮件,发消息,盗用你的账号,甚至于购买商品,虚拟货币转账...造成的问题包括:个人隐私泄露以及财产安全。
3.攻击流程
4.防御方式
-
在提交表单的表单元素中添加hash验证
-
填写验证方式,例如验证码
-
服务器核对令牌
二.文件上传漏洞攻击及防范措施
1.概念
-
文件上传漏洞是指网络攻击者上传了一个可执行的文件到服务器并执行
2.场景
-
这个漏洞在DVBBS6.0时代被黑客们利用的最为猖獗,利用上传漏洞可以直接得到webshell,危害级别超级高,现在的入侵中上传漏洞也是常见的漏洞
-
导致该漏洞的原因在于代码作者没有对方可提交的数据进行检验或者过滤不严,可以直接提交修改过的数据绕过扩展名的检验。
3.攻击流程
4.防御方式
-
前端验证文件类型
-
后台验证文件扩展名
-
对上传文件进行重命名