xss
XSS (Cross Site Script),跨站脚本攻击,因为缩写和 CSS (Cascading Style Sheets) 重叠,所以只能叫 XSS。
往 Web 页面里插入恶意可执行网页脚本代码,当用户浏览该页之时,嵌入其中 Web 里面的脚本代码会被执行,从而可以达到攻击者盗取用户信息或其他侵犯用户安全隐私的目的。XSS 的攻击方式千变万化,但还是可以大致细分为几种类型。
预防:检查参数,特殊符号处理
csrf
CSRF(Cross-Site Request Forgery),中文名称:跨站请求伪造攻击
攻击者可以盗用你的登陆信息,以你的身份模拟发送各种请求。访问A网站之后,在访问B,B会使用你的收向已经授权的A发起请求。
预防:1. csrf_token 2.重要的操作做二次确认
sql注入
而造成 SQL 注入的原因是因为程序没有有效的转义过滤用户的输入,使攻击者成功的向服务器提交恶意的 SQL 查询代码
解决方案:预编辑
os攻击
类似sql注入,只不过os是攻击系统的,只要在能调用Shell函数的地方就有存在被攻击的风险。
预防:参数校验过滤,拼接语句的时候使用工具或者是预处理。
重定向(钓鱼网站)
如果对跳转地址没有限制,通过修改url例如www.example.com/login?redirect=service.example.com用户可以通过修改url跳转到攻击者指定的页面。造成钓鱼,诱骗等攻击
解决方案:
- 限制301 302可以跳转的白名单
- 对跳转地址加sign校验值,当跳转地址和sign不同的时候不允许跳转
点击劫持
攻击者通过构造 ,诱使户点击特定位置, 而在网页中, 上层嵌入一个 透明的其他网页,户实际点击的是另另一个网页中的内容。
解决方案:
- 设置X-Frame-Options
- 添加二次确认。
