登陆 注册

web攻击方法及防御总结

桑云信息Lzers 2018-10-12 WEB攻击防御

1. CSRF (cross-site request forgery)跨站请求伪造

一句话概括:

当用户浏览器同时打开危险网站和正常网站,危险网站利用图片隐藏链接,或者js文件操纵用户生成错误请求给正常网站。此时因为用户会携带自己的session验证。危险网站发出的请求得以执行。

点击查看原图 web攻击方法及防御总结  WEB 攻击 防御 第1张

例如在一个论坛评论中发表:


<script>alert('hacked')</script>


这样的话,当其他用户浏览到这个页面,这段js代码就会被执行。当然,我们还可以执行一些更严重的代码来盗取用户信息。
解决办法: 转移和过滤用户提交的信息

3. session攻击,会话劫持

一句话概括:

用某种手段得到用户session ID,从而冒充用户进行请求

3812741222-5ad414fac7a04_articlex.png


原因: 由于http本身无状态,同时如果想维持一个用户不同请求之间的状态,session ID用来认证用户
三种方式获取用户session ID:

  1. 预测:PHP生成的session ID足够复杂并且难于预测,基本不可能

  2. 会话劫持: URL参数传递sessionID; 隐藏域传递sessionID;比较安全的是cookie传递。但同样可以被xss攻击取得sessionID

  3. 会话固定: 诱骗用户使用指定的sessionID进行登录,这样系统不会分配新的sessionID

防御方法:

  • 每次登陆重置sessionID

  • 设置HTTPOnly,防止客户端脚本访问cookie信息,阻止xss攻击

  • 关闭透明化sessionID

  • user-agent头信息验证

  • token校验


生成海报
请发表您的评论
桑云信息Lzers

桑云信息Lzers

乐山桑云信息技术有限公司专注于企业安全与网站、小程序、APP架设,为企业客户提供一站式解决方案,帮助企业快速实现互联网+转型。
909文章数 31评论数
请关注微信公众号
微信二维码
不容错过
Powered By SangYun.Net