Web安全与防御

偏执的太偏执、 2023-10-10 16:46 23阅读 0赞

#### xss攻击（跨站脚本） ####

是网站应用程序的安全泄露攻击，是代码注入的一种。它允许恶意用户将代码注入到网页上，其他用户在观看网页时就会受到影响。

##### 攻击原理 #####

其特点是不对服务器端造成任何伤害，而是通过一些正常的站内交互途径，例如发布评论，提交含有 JavaScript 的内容文本。这时服务器端如果没有过滤或转义掉这些脚本，作为内容发布到了页面上，其他用户访问这个页面的时候就会运行这些脚本。

##### 防御方法 #####

1.  浏览器端主动进行 XSS 识别
2.  服务器端对于用户输入的内容进行过滤

#### CSRF攻击 ####

CSRF 的全称是“跨站请求伪造”，而 XSS 的全称是“跨站脚本”。看起来有点相似，它们都是属于跨站攻击——不攻击服务器端而攻击正常访问网站的用户。

##### 攻击原理 #####

CSRF 顾名思义，是伪造请求，冒充用户在站内的正常操作。我们知道，绝大多数网站是通过 cookie 等方式辨识用户身份（包括使用服务器端 Session 的网站，因为 Session ID 也是大多保存在 cookie 里面的），再予以授权的。所以要伪造用户的正常操作，最好的方法是通过 XSS 或链接欺骗等途径，让用户在本机（即拥有身份 cookie 的浏览器端）发起用户所不知道的请求。

一言蔽之就是冒充用户进行一些操作。

##### 防御方法 #####

1、通过 referer、token 或者[验证码][Link 1]来检测用户提交。

2、尽量不要在页面的链接中暴露用户隐私信息。

3、对于用户修改删除等操作最好都使用 post 操作。

4、避免全站通用的 cookie，严格设置 cookie 的域。

#### SQl 攻击 ####

简称:注入攻击。是发生于应用程序之[数据库][Link 2]层的安全泄露。

##### 攻击原理： #####

用户直接输入 sql 语句，如果应用用的是拼接字符串的方式且没有过滤掉的话，当流程走到数据库部分的时候就会直接执行，等于说数据库的信息直接暴露在用户面前，那还不是想干嘛就干嘛。。。

##### 防御方法 #####

1.、验证并转义用户输入

2、base64编码

3、绑定变量，使用预编语言

4、控制用户的权限，以及做好数据库本身的安全工作

#### 文件上传漏洞 ####

是指网络攻击者上传了一个可执行的文件到服务器并执行。这里上传的文件可以是木马，病毒，恶意脚本或者WebShell （诸如 jsp， php， asp 这些脚本）等

##### 攻击原理 #####

有点像 sql 诸如和 xss 就是变成上传文件了。

##### 防御方法 #####

过滤上传类型：比如上传头像文件的类型是否为图片，大小是不是超过了。

引入第三方：将文件上传到第三方提供地址，服务器只保留一个地址即可。

#### ddos攻击 ####

DDoS 全称 Distributed Denial of Service，分布式拒绝服务攻击。

##### 攻击原理 #####

就是本来一个服务器最大承受一个G的带宽，这时候一次性来了十个G的请求流量，咋整？服务器要么是陷入无尽的请求等待，要么就直接GG了。

##### 防御方法 #####

1、拼宽带

2、流量清洗或者封 IP

3、[CDN][] 服务

4、花钱买相应的防御服务

## 学习计划安排 ##

![8bb5de58644d4dbc8bf419bd78b38454.png][]  
我一共划分了六个阶段，但并不是说你得学完全部才能上手工作，对于一些初级岗位，学到第三四个阶段就足矣~

这里我整合并且整理成了一份【282G】的网络安全从零基础入门到进阶资料包，需要的小伙伴可以扫描下方CSDN官方合作二维码免费领取哦，无偿分享！！！

①网络安全学习路线  
②上百份渗透测试电子书  
③安全攻防357页笔记  
④50份安全攻防面试指南  
⑤安全红队渗透工具包  
⑥HW护网行动经验总结  
⑦100个漏洞实战案例  
⑧安全大厂内部视频资源  
⑨历年CTF夺旗赛题解析

![1673601460401.png_t_0.5084107994384632][]

[Link 1]: https://cloud.tencent.com/product/captcha?from=10680
[Link 2]: https://cloud.tencent.com/solution/database?from=10680
[CDN]: https://cloud.tencent.com/product/cdn?from=10680
[8bb5de58644d4dbc8bf419bd78b38454.png]: https://img-blog.csdnimg.cn/8bb5de58644d4dbc8bf419bd78b38454.png
[1673601460401.png_t_0.5084107994384632]: https://hnxx.oss-cn-shanghai.aliyuncs.com/official/1673601460401.png?t=0.5084107994384632