-
xss(跨站脚本攻击)
-
CSRF(跨站请求伪造)
-
SQL注入
在硬件的支持下,互联网正在高速发展,互联网的发展速度用惊世骇俗也不为过,在如果说web1.0是互联网的开始,web2.0 是过渡,那么如今的web3.0就是一个巅峰。高速的发展同时也带来信息安全的问题互联网界一直流传着这样的一句话" 硬盘有价,数据无价"。今天咱们就聊聊三个经典攻击方式。
Number.One
xss(跨站脚本攻击),css说的是层叠式样式表,那么xss指的就是js了,XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。其实在web前端方面,可以简单的理解为一种javascript代码注入。
我们都知道在HTML在解析的时候遇见<script>标签时就会执行。如果你的用户在输入名称时带了<script>标签,并夹杂了一些恶意的代码那么恭喜你中招了!
当然针对这些不是没有办法,最简单的办法就是转义。黑客的js真的在我们的网页上执行了,我们该怎么办。其实,很多时候,我们的敏感信息都是存储在cookie中的(不要把用户机密信息放在网页中),想要阻止黑客通过js访问到cookie中的用户敏感信息。那么请使用cookie的HttpOnly属性,加上了这个属性的cookie字段,js是无法进行读写的
Number.Two
CSRF(跨站请求伪造)是一种网络攻击方式,该攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在未授权的情况下执行在权限保护之下的操作,具有很大的危害性。具体来讲,可以这样理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的操作,,比如以你的名义发邮件、消息,盗取你的账号,添加系统管理员,甚至购买商品、虚拟货币转账等操作。
Number.Three
SQL注入就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。
SQL注入的产生原因通常表现在以下几方面:
①不当的类型处理;
②不安全的数据库配置;
③不合理的查询集处理;
④不当的错误处理;
⑤转义字符处理不合适;
⑥多个提交处理不当。
SQL注入防范
要防御SQL注入,用户的输入就绝对不能直接被嵌入到SQL语句中。恰恰相反,用户的输入必须进行过滤,或者使用参数化的语句。参数化的语句使用参数而不是将用户输入嵌入到语句中。在多数情况中,SQL语句就得以修正。然后,用户输入就被限于一个参数。等等
Last
在互联网上没有绝对的安全,这句话是完全正确的我们能做的仅仅是
黑客攻击我们的时候,黑客花费的成本远比他可以获取的利益大得多,黑客就不会去攻击。
保护好你的cookie,或者用完就清掉它。
不要上一些危险网站。(危险网站比如澳门皇家赌场)
不要用浏览器保存你的密码(为何某某短视频会盗取某站大量的短视频)
