应用安全 Web攻击手段及预防之—网络层或漏洞
发布时间:2022-05-24 08:56:09 所属栏目:安全 来源:互联网
导读:常见的XSS攻击、SQL注入、CSRF攻击等攻击方式和防御手段,这些都是针对代码或系统本身发生的攻击,另外还有一些攻击方式发生在网络层或者潜在的攻击漏洞在这里也总结一下。 DOS攻击不是说攻击DOS系统,或者通过DOS系统攻击。 DOS攻击全称为Denial of service
|
常见的XSS攻击、SQL注入、CSRF攻击等攻击方式和防御手段,这些都是针对代码或系统本身发生的攻击,另外还有一些攻击方式发生在网络层或者潜在的攻击漏洞在这里也总结一下。 DOS攻击不是说攻击DOS系统,或者通过DOS系统攻击。 DOS攻击全称为Denial of service,即拒绝服务,其主要攻击目的是使计算机硬件或网络宽带资源耗尽从而造成服务器无法提供正常服务,而DDOS攻击就是Distributed denial of service,即分布式的拒绝服务攻击,攻击者利用多台服务器资源对同一个目标服务器发起攻击,从而使目的服务器快速陷入崩溃。 DNS劫持即通过某种手段控制DNS服务器,篡改域名真实的解析结果,并返回攻击者的ip地址,从而跳到了攻击者的页面。像我们宽带快到期了或者有什么推广信息,电信总会弹出一个营销界面提示我们宽带快到期了或者什么活动的,这其实就是运营商DN劫持搞的鬼。像在我们本地,也经常会配置host文件以开发测试联调,或者访问那些访问不了你又想访问的网址。 防止DNS劫持可以用国外知名的DNS服务器,像google的8.8.8.8,或者准备两个域名,一个被劫持了引导用户去访问另一个。 DNS污染发生在请求DNS解析前第一步,直接在协议上对DNS解析请求进行干扰,因为DNS查询是基于不可靠无连接的UDP协议,它是没有经过认证的,很容易被篡改,所以攻击者通过在UDP的53端口进行DNS查询检测,并返回攻击者错误的解析结果给用户,这就是DNS污染。 DNS污染可以通过自己搭建DNS服务器,采用TCP加密的形式,但可能延迟比较大。 错误回显 这个在SQL注入防御篇幅中有描述,就是不能把数据库表及代码关键信息输出到用户浏览器,这里不再详细描述。 网页注释 为了开发或联调的便利性,我们经常在代码使用注释,某些注释可能包括重要信息,给攻击者以可乘之机,所以这个最好养成良好的习惯及时删除敏感的注释或者开发完成对代码进行审视。 (编辑:宁德站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐