WEB网站常见的六类攻击方式!速看如何解决!

2019-07-17 17:14:12 35

一.跨站脚本攻击(XSS)

跨站脚本攻击(XSS,Cross-site scripting)是最常见和基本的攻击WEB网站的方法。攻击者在网页上发布包含攻击性代码的数据。

当查看到页面时,这些特定的脚本会以用户的身份和权限执行。XSS使修改用户数据、窃取用户信息和引发其他类型的攻击(如CSRF攻击)变得相对容易。

常见解决办法:确保输出到HTML页面的数据以HTML的方式被转义。

出错的页面的漏洞也可能造成XSS攻击。比如页面/gift/giftList.htm?page=2找不到,出错页面直接把该URL原样输出,如果攻击者在URL后面加上攻击代码发给受害者,就有可能出现XSS攻击 。

 二. 跨站请求伪造攻击(CSRF)

另一种常见的攻击是跨站点请求伪造(CSRF,Cross-site request forgery)。攻击者以多种方式伪造请求,模仿用户提交表单来修改用户的数据或执行特定的任务。

CSRF攻击通常与XSS攻击结合使用,以模拟用户的身份,但也可以以其他方式使用,例如诱导用户单击包含该攻击的链接。

解决的思路有:

1、使用POST请求增加攻击难度。用户单击链接启动GET请求。然而,POST请求相对比较困难,攻击者通常需要javascript来实现它们。

2、对请求进行身份验证,以确保该请求实际上是由用户填写和提交的,而不是由第三方伪造的。您可以在会话中添加token,以确保是同一个人看到信息并提交它。


服务热线

020-28193242

公司地址

广州市天河区宦溪西路3号B313房

作息时间

周一至周五 9:00-18:00

电话咨询
产品
解决方案
QQ客服