文章目录
- 一、sql注入
- 1.是什么:
- 2.原理:
- 3.防御:
- 二、CSRF攻击【跨站请求伪造】
- 1.是什么:
- 2.危害:
- 3.原理:
- 4.防御:
- 三、XSS攻击【跨站脚本攻击】
- 1.是什么:
- 2.危害:
- 3.防御:
- 四、DDOS攻击【分布式拒绝服务攻击】
- 1.是什么:
- 2.被攻击的原因:
- 3.防御:
一、sql注入
1.是什么:
通过sql命令伪装成正常的 http 请求参数,传递到服务端,服务器执行sql命令造成对数据库进行攻击。
2.原理:
sql语句伪造参数,然后在对参数机型拼接后形成破坏性的sql语句,最后导致数据库收到攻击。
3.防御:
a. 对参数进行转义
b. 数据库中的密码不应明文存储,可以对密码使用md5进行加密。
二、CSRF攻击【跨站请求伪造】
1.是什么:
攻击者盗用了你的身份,以你的名义发送恶意请求;
2.危害:
以你的名义发送邮件,盗取账号,购买东西等;
3.原理:
首先个登录某网站,并在本地生成cookie;然后在不登出的情况下,访问危害网站。
4.防御:
可以从服务端和客户端俩方面进行考虑。但是在服务端的效果好。
a. 随机的 cookie
b. 添加验证码
c. 不同的表单包含一个不同的伪随机值
PS:如果用户在一个站点上同时打开了俩个不同的表单。CSRF 保护措施不应该影响到他对任何表单的提交。
三、XSS攻击【跨站脚本攻击】
1.是什么:
攻击者向有 XSS 漏洞的网站中输入恶意的 JS 代码,当其浏览器浏览该网站时,这段 JS 代码会自动执行。(理论上所有可以输入的地方没有对输入的数据进行处理,都会存在 XSS 攻击);
2.危害:
盗取用户 cookie,破坏页面结构,重定向到其他网站;
3.防御:
对用户输入的信息进行处理,只允许合法的值。
四、DDOS攻击【分布式拒绝服务攻击】
1.是什么:
简单来说就是 ifasong 大量的请求使服务器瘫痪。
2.被攻击的原因:
服务器带宽不足,不能挡住攻击者的攻击流量。
3.防御:
a. 最直接的方法就是增加带宽
b. 使用硬件防火墙
c. 优化资源使用提高 web server 的负载能力