作为程序员必须了解这几种web攻击及应对办法
1、sql注入,这也是早期web常见的攻击方式,一般是在详情页的id后面增加一段sql语句,如果后端编程人员没有进行sql防过滤,就会出现暴库的情况
解决的办法:对sql特殊字符进行过滤,并使用占位符的方式对解析sql,如php中的pdo
2、xss跨站脚本攻击,这也是很常见的,一般是由于编程者太过相信客户提交的数据,以至于显示数据是,浏览器执行了非法的代码
解决办法:不要相信客户端传的数据,数据转义,过滤非法字符
3、cc攻击,就是高并发访问后端执行时间比较长的一段代码,比如压缩文件,造成服务器资源耗尽奔溃
解决办法:耗时操作采用异步的方法,比如采用队列处理
4、中间人攻击,就是控制局域网,让所有的请求经过攻击者的电脑,最后再发送到服务端,攻击者可以窃取和改写数据报文
解决办法:数据加密及校验,证书认证、通信加密,公私钥非对称加密
5、ddos攻击,这就是拒绝服务式攻击,攻击者利用tcp的三次握手机制对服务器发起tcpflood的攻击,让服务器的连接资源耗尽,致使正常用户无法访问的情况
解决办法:机房添加ddos硬件防火墙,linux服务器可以针对ddos做一些参数的调整,比如tcp的超时时间设置
6、弱密码攻击,就是通过猜测弱密码的方法获得用户的密码,比如123456、888888之类的密码
解决办法:密码设置是提示用户用强类型密码,特殊字符+大写字母+小写字母+数字的形式,至少8位
7、csrf跨站请求伪造
伪造请求数据进行操作,比如说服务端有个http的post地址是退出用户登录状态
解决办法:token认证,所有的请求都要附带有效的token,否则抛弃
8、上传文件漏洞,就是上传文件的后端代码如果对上传文件的类型及后缀没有校验的话,攻击者可以将shell后门程序伪装成正常文件上传到服务器后,远程访问进行服务器的控制
解决办法:文件上传前后端要验证,存放到服务器的文件夹目录的执行权限去掉
9、dhcp攻击,更改dhcp的地址,将dns地址篡改,指向另一个类似网站,造成用户信息泄露,俗称钓鱼
解决办法:网络环境校验
{{collectdata}}
网友评论0