WEB网站常见的六类攻击方式!速看如何解决!
2019-07-17 17:14:12
40
一.跨站脚本攻击(XSS)
跨站脚本攻击(XSS,Cross-site scripting)是最常见和基本的攻击WEB网站的方法。攻击者在网页上发布包含攻击性代码的数据。
当查看到页面时,这些特定的脚本会以用户的身份和权限执行。XSS使修改用户数据、窃取用户信息和引发其他类型的攻击(如CSRF攻击)变得相对容易。
常见解决办法:确保输出到HTML页面的数据以HTML的方式被转义。
出错的页面的漏洞也可能造成XSS攻击。比如页面/gift/giftList.htm?page=2找不到,出错页面直接把该URL原样输出,如果攻击者在URL后面加上攻击代码发给受害者,就有可能出现XSS攻击 。
二. 跨站请求伪造攻击(CSRF)
另一种常见的攻击是跨站点请求伪造(CSRF,Cross-site request forgery)。攻击者以多种方式伪造请求,模仿用户提交表单来修改用户的数据或执行特定的任务。
CSRF攻击通常与XSS攻击结合使用,以模拟用户的身份,但也可以以其他方式使用,例如诱导用户单击包含该攻击的链接。
解决的思路有:
1、使用POST请求增加攻击难度。用户单击链接启动GET请求。然而,POST请求相对比较困难,攻击者通常需要javascript来实现它们。
2、对请求进行身份验证,以确保该请求实际上是由用户填写和提交的,而不是由第三方伪造的。您可以在会话中添加token,以确保是同一个人看到信息并提交它。