网络安全攻击和防范措施

比眉伴天荒 2024-03-25 21:32 108阅读 0赞

常见的有四种网络安全攻击方式.

### 第一种是XSS跨站脚本攻击,往网页中插入恶意脚本代码以攻击用户. ###

防范措施有三种.

第一种是输入过滤,对用户的所有输入数据进行检测,过滤掉可能导致脚本的字符.

第二种是输出编码,使用工具对用户输入进行编码,使其中可能含有的HTML脚本变成普通字符串.

第三种是Cookie防盗,为了防止攻击者窃取用户的Cookie信息,要尽量避免在Cookie中存放隐私,如用户名,密码等,其次,可以利用MD5等hash算法对Cookie进行多次散列后进行存放,再次,也可以将Cookie和IP进行绑定,防止攻击者伪装正常用户.

### 第二种是DDos攻击,短时间内对服务器进行大量的网络请求,使服务器瘫痪. ###

防范措施有三种.

第一种是拦截请求,可以在硬件,防火墙和服务器三个层面进行拦截.硬件层面架设硬件防火墙效果最好,但成本最高;防火墙方面使用软件防火墙进行拦截请求;服务器方面,服务器可以决定拦截哪些请求,对性能消耗很大.

第二种是带宽扩容,购买更大的带宽可以消化DDos攻击.这种方式成本较高,并且不能真正的防范DDos攻击.

第三种是CDN网络,使用CDN网络把网站的静态内容分发到多个服务器,用户就近访问,实质上相当于提高了带宽.这种方法有两个缺点,一个是网站的内容必须大部分是静态内容,另一个是不能泄露源服务器的IP地址,防止攻击者绕过CDN直接攻击源服务器.

### 第三种是CSRF跨站请求伪造,攻击者伪装成受信任用户来利用受信任网站. ###

防范措施有两种.

第一种是验证码,用户提交表单时需要填写验证码,可以有效防止CSRF攻击.

第二种时使用Token,Token是服务器和用户共同持有的随机值,当用户提交表单时需要验证服务器和用户的Token是否一致.

### 第四种是SQL注入攻击,通过把SQL命令插入到表单提交或页面请求中,最终达到欺骗服务器执行恶意SQL命令的目的. ###

防范措施一般使用参数化查询,使用参数化查询时数据库不会把参数作为SQL语句的一部分来处理,这样SQL注入就无效了.

### 网络安全学习资源分享: ###

**零基础入门**

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

![在这里插入图片描述][e3fe194bc16748bbbd7bac78c4d41daa.png_pic_center]

[CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享 (qq.com)][CSDN_ _qq.com]

同时每个成长路线对应的板块都有配套的视频提供：

![在这里插入图片描述][b34f14b3f8af40918495da7aa0cfdb80.jpeg_pic_center]

![在这里插入图片描述][80948265729a41e097f642334332e2e9.png_pic_center]

[CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享 (qq.com)][CSDN_ _qq.com]

因篇幅有限，仅展示部分资料，需要点击上方链接即可获取

[e3fe194bc16748bbbd7bac78c4d41daa.png_pic_center]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/25/519b14428ab544c1b234b2970bded02b.png
[CSDN_ _qq.com]: https://docs.qq.com/doc/DZUhPR0ZQV2RHVlRu
[b34f14b3f8af40918495da7aa0cfdb80.jpeg_pic_center]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/25/13e0eaf6ab4c477c830cab807f69c12f.png
[80948265729a41e097f642334332e2e9.png_pic_center]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/25/9c62223473634896986a52364ec1acb2.png