网络安全的攻击和防御

【如何应对网络各种攻击】
CSRF:跨站请求伪造
SQL注入
XSS:跨站脚本攻击
CC攻击
DDoS攻击

【CRSF攻击是什么,如何防护】
CRSF:跨站请求伪造。攻击者盗用了你的身份,以你的名义发送恶意请求。

目前防御CSRF攻击主要有以下几种策略
1.在请求地址中加入token并验证,和后端的token一致才通过,后端token可以保存在session,redis上,设置时效
2.在url的HTTP Referer加入验证的参数
3.使用验证码

参考:https://www.cnblogs.com/qiqiloved/p/13475357.html

【SQL注入是什么,如何防护】
用户可透过表单提交,进行sql注入

防御:
1.对用户输入的内容,进行预处理
2.对用户输入的内容,进行转义处理
3.避免将用户提供的输入直接放入SQL语句中;最好使用准备好的语句和参数化查询,这样更安全。
4.对敏感信息进行加密
5.限制数据库权限和特权
6.避免直接向用户显示数据库错误

【sql预处理的原理】

【XSS攻击是什么,如何防护】
XSS攻击:跨站脚本攻击,是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。
常见的 XSS 攻击有三种:反射型XSS攻击、DOM-based 型XXS攻击以及存储型XSS攻击。

1.反射型XSS攻击
反射型 XSS攻击:如通过有恶意代码的邮件链接诱使用户点击,窃取客户端 Cookies 或进行钓鱼欺骗。

2.存储型XSS攻击
存储型XSS攻击:主要将XSS代码提交存储在服务器端(数据库,内存,文件系统等),下次用户发出请求时,XSS代码会从服务器解析执行。

3.DOM-based 型XSS攻击
基于DOM的XSS攻击是指通过恶意脚本修改页面的DOM结构,是纯粹发生在客户端的攻击。DOM型XSS攻击中,取出和执行恶意代码由浏览器端完成。

如何防御XSS攻击?
1.对特定字符串进行转义符操作,例如表示 html标记的 < > 等符号。

  1. 对重要的 cookie设置 httpOnly, 防止客户端通过document.cookie读取 cookie,此 HTTP头由服务端设置。
  2. 将不可信的值输出 URL参数之前,进行URLEncode操作,而对于从URL参数中获取值一定要进行格式检测。urlencode函数可将字符串以URL编码,用于编码处理。)
    4.不要使用 Eval来解析并运行不确定的数据或代码,对于 JSON解析请使用 JSON.parse() 方法。
    5.后端对敏感关键词做过滤操作。

参考:https://zhuanlan.zhihu.com/p/98938342

$new_content = str_replace(“旧文字”, “新内容”, “整体内容”);

【CC攻击是什么,如何防护】
CC攻击是DDOS(分布式拒绝服务)的一种。
DDOS是主要针对IP的攻击,而CC攻击的主要是网页。

【DDoS攻击是什么,如何防护】
主要通过大量合法的请求占用大量网络资源,从而使合法用户无法得到服务的响应,是目前最强大、最难防御的攻击之一。

1.增强承载能力
2.做验证
3.隐藏自己的服务器IP,更改网站DNS

【对称加密和非对称加密】

【SSL证书过程中做了什么】
用户通过http协议访问网站时,浏览器和服务器之间是明文传输,这就意味着用户填写的密码、帐号、交易记录等机密信息都是明文,随时可能被泄露、窃取、篡改,被黑客加以利用。

ssl作用:
1.ssl证书实现对网站传输的数据进行加密,包括网站用户的账户密码、身份证等隐私信息,防止被黑客监听、窃取和篡改。
2.有效避免流量劫持。

原理:

  1. 客户端向一个需要https访问的网站发起请求。
  2. 服务器将证书发送给客户端进行校验。证书里面包含了其公钥。这里要特别说一下客户端到底如何来校验对方发过来的数字证书是否有效。

首先在本地电脑寻找是否有这个服务器证书上的ca机构的根证书。如果有继续下一步,如果没有弹出警告。
使用ca机构根证书的公钥对服务器证书的指纹和指纹算法进行解密。
得到指纹算法之后,拿着这个指纹算法对服务器证书的摘要进行计算得到指纹。
将计算出的指纹和从服务器证书中解密出的指纹对比看是否一样如果一样则通过认证。

  1. 校验成功之后,客户端会生成一个随机串然后使用服务器证书的公钥进行加密之后发送给服务器。
  2. 服务器通过使用自己的私钥解密得到这个随机值。
  3. 服务器从此开始使用这个随机值进行对称加密开始和客户端进行通信。
  4. 客户端拿到值用对称加密方式 使用随机值进行解密。

非对称加密的消耗和所需的计算以及时间远比对称加密消耗要大,所以在握手和认证之后,服务器和客户端就开始按照约定的随机串,对后续的数据传输进行加密。

参考:
SSL证书原理讲解
https://www.cnblogs.com/dinglin1/p/9279831.html

上一页:
下一页:

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

搜索

总分类