更新時(shí)間:2021-01-22 來(lái)源:黑馬程序員 瀏覽量:
WEB基本攻擊大致可以分為三大類(lèi)—— “資源枚舉”、“參數(shù)操縱” 和 “其它攻擊”
資源枚舉:遍歷站點(diǎn)所有可訪問(wèn)的目錄,然后把一些常見(jiàn)的備胎文件名(比如“sql.bak”、“index-副本.html”)一個(gè)個(gè)都枚舉一下,如果運(yùn)氣好枚舉到了就直接下載。
參數(shù)操縱:包括了SQL注入、XPath注入、cgi命令執(zhí)行,還有XXS和會(huì)話劫持等,xxs攻擊指的是惡意攻擊者往Web頁(yè)面里插入惡意html代碼,當(dāng)用戶瀏覽該頁(yè)之時(shí),嵌入的惡意html代碼會(huì)被執(zhí)行,從而達(dá)到惡意用戶的特殊目的
cookie劫持:通過(guò)獲取頁(yè)面的權(quán)限,在頁(yè)面中寫(xiě)一個(gè)簡(jiǎn)單的到惡意站點(diǎn)的請(qǐng)求,并攜帶用戶的cookie,獲取cookie后通過(guò)cookie
就可以直以被盜用戶的身份登錄站點(diǎn)
解決方案:
永遠(yuǎn)不要相信客戶端傳來(lái)的任何信息,對(duì)這些信息都應(yīng)先進(jìn)行編碼或過(guò)濾處理
謹(jǐn)慎返回用戶輸入的信息
使用黑名單和白名單處理(即“不允許哪些敏感信息”或“只允許哪些信息”,白名單的效果更好但局限性高)
檢查、驗(yàn)證請(qǐng)求來(lái)源,對(duì)每一個(gè)重要的操作都進(jìn)行重新驗(yàn)證
使用SSL防止第三方監(jiān)聽(tīng)通信(但無(wú)法阻止XSS、CSRF、SQL注入攻擊)
不要將重要文件、備份文件存放在公眾可訪問(wèn)到的地方
會(huì)話ID無(wú)序化
對(duì)用戶上傳的文件進(jìn)行驗(yàn)證(不單單是格式驗(yàn)證,比方一張gif圖片還應(yīng)將其轉(zhuǎn)為二進(jìn)制并驗(yàn)證其每幀顏色值<無(wú)符號(hào)8位>和寬高值<無(wú)符號(hào)16位>)
WSDL文檔應(yīng)當(dāng)要求用戶注冊(cè)后才能獲取
猜你喜歡: