1. 網路攻擊分的種類:
-
- CSRF
-
- XSS
2. CSRF的基本概念和縮寫
- CSRF,通常稱為跨域請求偽造,英文名:Cross-site request forgery 縮寫CSRF
3. csrf防禦:
- a: 通過referer token或者驗證碼來檢測使用者提交
- b: 儘量不要在頁面的連結中暴露使用者的隱私資訊
- c: 對於使用者的修改刪除等操作最好都使用post操作
- d: 避免安全站通用的cookie,嚴格設定cookie的域
二:xss
- 1.xss表示Cross Site Scripting(跨站指令碼攻擊),它與SQL隱碼攻擊類似,SQL隱碼攻擊中以SQL語句作為使用者輸入,從而達到查詢/修改/刪除資料的目的,而在xss攻擊中,通過插入惡意指令碼,實現對使用者遊覽器的控制。
防範措施
- 一種方法是在表單提交或者url引數傳遞前,對需要的引數進行過濾,請看如下XSS過濾工具類程式碼
三. 根據XSS攻擊的效果可以分為幾種型別
第一、XSS反射型攻擊,惡意程式碼並沒有儲存在目標網站,通過引誘使用者點選一個連結到目標網站的惡意連結來實施攻擊的。
第二、XSS儲存型攻擊,惡意程式碼被儲存到目標網站的伺服器中,這種攻擊具有較強的穩定性和永續性,比較常見場景是在部落格,論壇等社交網站上,但OA系統,和CRM系統上也能看到它身影,比如:某CRM系統的客戶投訴功能上存在XSS儲存型漏洞,黑客提交了惡意攻擊程式碼,當系統管理員檢視投訴資訊時惡意程式碼執行,竊取了客戶的資料,然而管理員毫不知情,這就是典型的XSS儲存型攻擊。