XSS(Cross Site Script)
跨站腳本攻擊,指攻擊者在網頁中嵌入惡意腳本程式,
防御
- 客戶端及服務端用戶的輸入資料進行雙重驗證
- 將輸入的資料進行轉義處理,如將用戶資料轉換成HTML物體,
SQL注入(SQL Injection)
將sql命令偽裝成正常的http請求引數,傳遞到服務器端,服務器執行sql命令造成對資料庫進行攻擊
防御
- 資料庫操作進行預處理
- 首先使用占位符定義使用的 sql 代碼,之后再將每個引數傳遞給查詢陳述句
- 使用語言或框架自帶的存盤程式,而不是自己直接操縱資料庫
CSRF(cross site request forgery)
跨站請求偽造,指通過偽裝成受信任用戶進行訪問,比如我訪問了A網站,然后cookie存在了瀏覽器,然后我又訪問了一個流氓網站,不小心點了流氓網站一個鏈接(向A發送請求),這個時候流氓網站利用了我的身份對A進行了訪問,成功通過了A網站的用戶驗證,
防御
- 之所以被攻擊是因為攻擊者利用了存盤在瀏覽器用于用戶認證的cookie,那么如果我們不用cookie來驗證就可以預防了,我們可以采用token(不存盤于瀏覽器)認證,
- 通過referer識別,HTTP Referer是header的一部分,當瀏覽器向web服務器發送請求的時候,一般會帶上Referer,告訴服務器我是從哪個頁面鏈接過來的,服務器基此可以獲得一些資訊用于處理,
DDOS
分布式拒絕服務攻擊(Distributed Denial of Service),簡單說就是發送大量請求是使服務器癱瘓,
防御
- 增加帶寬,但是攻擊者用各地的電腦進行攻擊,他的帶寬不會耗費很多錢,但對于服務器來說,帶寬非常昂貴
- 云服務提供商有自己的一套完整DDoS解決方案,并且能提供豐富的帶寬資源
轉載請註明出處,本文鏈接:https://www.uj5u.com/houduan/71690.html
標籤:PHP
上一篇:laravel 7 在線教育專案實操筆記(1)--安裝
下一篇:CRLF注入原理
