查看完整视频
小黑屋思过中,禁止观看!
评论并刷新后可见

您需要在视频最下面评论并刷新后,方可查看完整视频

积分观看

您支付积分,方可查看完整视频

{{user.role.value}}
付费视频

您支付费用,方可查看完整视频

¥{{user.role.value}}
课程视频

全面深入50W+年薪技能,构建体系化架构师能力


会员专享

视频选集

如何防御XSS、CSRF、SQL注入、CC、DDos攻击?

  • 课程笔记
  • 问答交流

常见的网络安全还是需要了解的,在我们编码的时候,很多都会涉及到,面试也经常问到。
为了助大家掌握好网络安全,这节课我会重要讲解以下5种攻击与防范:

如何防御XSS、CSRF、SQL注入、CC、DDos攻击?-mikechen的互联网架构师之路

1.XSS
2.CSRF
3.SQL注入
4.CC攻击
5.Ddos攻击

 

XSS跨站脚本

跨站脚本(cross site script)简称为XSS,是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去,使别的用户访问都会执行相应的嵌入代码。

危害
1、盗取用户资料,比如:登录帐号、网银帐号等
2、利用用户身份,读取、篡改、添加、删除企业敏感数据等
3、盗窃企业重要的具有商业价值的资料
4、非法转账
5、强制发送电子邮件
6、网站挂马
7、控制受害者机器向其它网站发起攻击

XSS防范方案

XSS的解决办法:过滤用户提交的信息。

将重要的cookie标记为http only, 这样的话js 中的document.cookie语句就不能获取到cookie了

只允许用户输入我们期望的数据。 例如:age用户年龄只允许用户输入数字,而数字之外的字符都过滤掉。

对数据进行Html Encode 处理: 用户将数据提交上来的时候进行HTML编码,将相应的符号转换为实体名称再进行下一步的处理。

过滤或移除特殊的Html标签, 例如: <script>, <iframe> , < for <, > for >, &quot for

过滤js事件的标签。例如 “onclick=”, “onfocus 等等。

CSRF(跨站点请求伪造)

CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。

XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF更具危险性。

危害

主要的危害来自于,攻击者盗用了用户身份,发送恶意请求。比如:模拟用户的行为发送邮件,发消息,以及支付、转账等财产安全。

CSRF防范方案

如何防御XSS、CSRF、SQL注入、CC、DDos攻击?-mikechen的互联网架构师之路

SQL注入

SQL注入是比较常见的网络攻击方式之一,主要是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,实现无帐号登录,甚至篡改数据库。

危害

数据库信息泄漏:数据库中存放的用户的隐私信息的泄露。
网页篡改:通过操作数据库对特定网页进行篡改。
数据库被恶意操作:数据库服务器被攻击
服务器被远程控制,被安装后门
删除和修改数据库信息

SQL注入防范

隐藏内容,您需要满足以下条件方可查看
End
0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧