- xss跨站脚本攻击
- 通过js脚本获取登陆用户的cookies,从而获取登陆用户的相关信息
- 可以设置cookies为httponly防止js调用
- 可以对特殊字符进行转义,过滤掉特殊字段。例如对< >进行转义< >
- 跨站请求伪造
- 欺骗浏览器去访问一个曾经认证过的网站并执行一些用户的敏感操作,如用户既打开着银行网站,也打开着恶意网点,那么由于用户的登录信息尚未过期,如果恶意网站上有一些转账操作,则有可能利用用户的登录信息以用户的名义执行操作来进行攻击
- 使用referer首部字段,要求请求来源的地址需要在一个域名下,但是不能保证所有浏览器都实现了该字段或攻击者可能会篡改该字段
- 添加校验token,在做敏感操作的时候需要浏览器传回不保存在cookies,并且攻击者无法伪造的信息做校验。如服务器生成随机数附加在表单中并要求客户端传回这个随机数
- 添加校验码,需要用户进行二次验证操作
- sql注入
- 在输入框可以输入相关的sql语句从而打乱最初的功能,导致攻击者获取到非法信息。如添了个1=1
- 使用参数化查询,java中的preparestatement对查询语句进行了预编译,从而防止sql注入的发生
- 对表单中传入的单引号做转换
- ddos拒绝服务攻击
- 是指大量请求突然涌来,使服务器宕机
- 需要做缓存,异步处理,对常用的非法的请求做校验,把非法请求抵挡在服务器之外,使用堡垒机等
若有收获,就点个赞吧
0 人点赞
