WEB攻擊類型有哪些

本篇內(nèi)容介紹了“WEB攻擊類型有哪些”的有關(guān)知識,在實(shí)際案例的操作過程中,不少人都會遇到這樣的困境,接下來就讓小編帶領(lǐng)大家學(xué)習(xí)一下如何處理這些情況吧!希望大家仔細(xì)閱讀,能夠?qū)W有所成!

我們提供的服務(wù)有:網(wǎng)站設(shè)計制作、網(wǎng)站設(shè)計、微信公眾號開發(fā)、網(wǎng)站優(yōu)化、網(wǎng)站認(rèn)證、四川ssl等。為成百上千家企事業(yè)單位解決了網(wǎng)站和推廣的問題。提供周到的售前咨詢和貼心的售后服務(wù),是有科學(xué)管理、有技術(shù)的四川網(wǎng)站制作公司

概念

XSS全稱為Cross Site Script,即跨站點(diǎn)腳本攻擊,XSS攻擊是最為普遍且中招率最多的web攻擊方式,一般攻擊者通過在網(wǎng)頁惡意植入攻擊腳本來篡改網(wǎng)頁,在用戶瀏覽網(wǎng)頁時就能執(zhí)行惡意的操作,像html、css、img都有可能被攻擊。

像前不久微信貌似就中招,好像是在朋友圈發(fā)送一個帶有腳本的鏈接,然后通過點(diǎn)擊該鏈接就會彈出一個提示,雖然沒有造成什么影響,但這是XSS攻擊最鮮明的特點(diǎn)。

分類

XSS現(xiàn)在主要分為以下兩種攻擊類型:

1、反射型漏洞

這種類型攻擊者一般通過在網(wǎng)頁中嵌入含有惡意攻擊腳本的鏈接,或者通過發(fā)送帶腳本的鏈接給受害者,這個腳本鏈接是攻擊者自己的服務(wù)器,用戶通過點(diǎn)擊該鏈接就能達(dá)到攻擊的目的。如http://www.test.com/p=<script src=... />,這樣受害者的網(wǎng)頁就嵌入了這段腳本,受害者通過點(diǎn)擊鏈接觸發(fā)攻擊腳本。

新浪微博曾經(jīng)就出現(xiàn)過一次較為嚴(yán)重的XSS攻擊事件,攻擊者通過發(fā)送一個帶有鏈接的微博誘導(dǎo)用戶點(diǎn)擊,通過點(diǎn)擊腳本鏈接大量用戶自動發(fā)送某些不良信息和私信并自動關(guān)注攻擊者的微博賬號,這是典型的反射型漏洞。

這次新浪微博事件顯然是一次推廣營銷而已,并沒有嚴(yán)重影響新浪的服務(wù),然而現(xiàn)實(shí)中攻擊者可以通過竊取用戶cookie獲取用戶名密碼等重要信息來偽造用戶交易、竊取用戶的財產(chǎn)等影響用戶財產(chǎn)安全的惡意行為。

2、存儲型漏洞

這種類型是影響最為廣泛的且危害網(wǎng)站安全自身的攻擊方式,攻擊者通過上傳惡意腳本到網(wǎng)站服務(wù)器或保存到數(shù)據(jù)庫中,惡意腳本就會包含在網(wǎng)頁中,這樣會導(dǎo)致所有瀏覽該網(wǎng)頁的用戶有中招的可能。這種攻擊類型一般常見在博客、論壇等網(wǎng)站中。

防御手段

1、危險字符過濾

即對用戶輸入的危險字符進(jìn)行轉(zhuǎn)義,如>轉(zhuǎn)義為"&gt",<轉(zhuǎn)義為"&lt" ,如果被轉(zhuǎn)義有誤解,可以對<script src=..這種類型的<才進(jìn)行轉(zhuǎn)義,這樣就能避免大部分的XSS攻擊。

2、使用http only的cookie

httpOnly由微軟在IE中提出,禁止用戶在瀏覽器中通過腳本訪問帶有httpOnly的cookie。有了這個特性,如果是用戶敏感信息保存在cookie中的,可以通過在cookie加下httpOnly屬性避免XSS攻擊cookie造成用戶信息泄漏。

“WEB攻擊類型有哪些”的內(nèi)容就介紹到這里了,感謝大家的閱讀。如果想了解更多行業(yè)相關(guān)的知識可以關(guān)注創(chuàng)新互聯(lián)網(wǎng)站,小編將為大家輸出更多高質(zhì)量的實(shí)用文章!

網(wǎng)頁題目:WEB攻擊類型有哪些
本文地址:http://muchs.cn/article32/jojpsc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供App開發(fā)網(wǎng)站制作、面包屑導(dǎo)航用戶體驗(yàn)、品牌網(wǎng)站建設(shè)、云服務(wù)器

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)

h5響應(yīng)式網(wǎng)站建設(shè)