常见六大Web漏洞DDoS高防介绍和谨防方案-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!
QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > CC防护 > 常见六大Web漏洞DDoS高防介绍和谨防方案

常见六大Web漏洞DDoS高防介绍和谨防方案

小墨安全管家 2020-08-23 23:31 CC防护 89 ℃
DDoS防御

不让第三方网站访咨询到用户 Cookie

1. 原理

二、CSRF

(1) referer的限制

      display: none !important; 

        ); 

假如 params.repo 传入的是 https://github.com/admin/admin.github.io.git 真的能从指定的 git repo 上下载到想要的代码。 然而假如 params.repo 传入的是 https://github.com/xx/xx.git && rm -rf /* && 恰好你的服务是用 root 权限起的就糟糕了。

HTTP Referer是header的一部分,当扫瞄器向web服务器发送请求时,普通会带上Referer信息告诉服务器是从哪个页面链接过来的,服务器籍此能够获得一些信息用于处理。能够经过检查请求的来源来谨防CSRF。正常请求的referer具有一定规律,如在提交表单的referer必然是在该页面发起的请求。于是经过检查http包头referer的值是不是那个页面,来推断是不是CSRF。

非持久型 XSS 漏洞有以下几点特征:

  <style id="click-jack"> 

常见六大Web漏洞DDoS高防介绍和防备方案

1. 特点

举个例子,关于评论功能来讲,就得防范持久型 XSS ,因为我能够在评论中输入以下内容:

3. 怎么谨防

OS命令注入和SQL注入已经,只只是SQL注入是针对数据库的,而OS命令注入是针对操作系统的。OS命令注入指经过Web应用,执行非法的操作系统命令达到的目的。只要在能调用Shell函数的地点就有存在风险。倘若调用Shell时存在疏漏,就能够执行插入的非法命令。

该响应头有三个值可选,分别是:

利用虚假输入表单骗取用户个人信息。

height:40px; 

显示伪造的文章或图片。

持久性,植入在数据库中

filter: alpha(opacity=0); 

这种想法相比Referer检查要安全特别多,token能够在用户登陆后产生并放于session或cookie中,接着在每次请求时服务器把token从session或cookie中拿出,与本次请求中的token 举行比对。由于token的存在,无法再构造出一具完整的URL实施CSRF。但在处理多个页面共存咨询题时,当某个页面消耗掉token后,其他页面的表单保存的依旧被消耗掉的这个token,其他页面的表单提交时会浮上token错误。

常见六大Web漏洞DDoS高防介绍和防备方案

盗取用户敏感保密信息。

关于 XSS 来讲,通常有两种方式能够用来谨防。

用户的输入永久不可信任的,最普遍的做法算是转义输入输出的内容,关于引号、尖括号、歪杠举行转义。

非持久型 XSS 漏洞,普通是经过给别人发送带有恶意足本代码参数的 URL,当 URL 地址被打开时,特有的恶意代码参数被 HTML 解析、执行。

3. 怎么谨防

opacity: 0; 

三、点击劫持

(4) 验证码

常见六大Web漏洞DDoS高防介绍和防备方案

目前比较完善的解决方案是加入Anti-CSRF-Token。即发送请求时在HTTP 请求中以参数的形式加入一具随机产生的token,并在服务器建立一具拦截器来验证那个token。服务器读取扫瞄器当前域cookie中那个token值,会举行校验该请求当中的token和cookie当中的token值是否都存在且相等,才以为这是合法的请求。否则以为这次请求是违法的,拒绝该次服务。

SELECT * FROM user WHERE username='admin' --' AND psw='xxxx' 

    AND psw='${password}' 

我们之前预想的SQL 语句是:

    FROM user 

<body> 

iframe { 

header("Location: $url"); 

防范 CSRF 能够遵循以下几种规则:

后端代码检查输入的数据是否符合预期,严格限制变量的类型,例如使用正则表达式举行一些匹配处理。

</style> 

CSP 本质上算是建立白名单,开辟者明确告诉扫瞄器哪些外部资源能够加载和执行。我们只需要配置规则,怎么拦截是由扫瞄器自个儿实现的。我们能够经过这种方式来尽可能减少 XSS 。

Header头跳转

</body> 

    SELECT * 

  strstr = str.replace(/'/g, '&#39;') 

      document.body.removeChild(style) 

(3) Anti CSRF Token

前端渲染的时候对任何的字段都需要做 escape 转义编码。

1. 非持久型 XSS(反射型 XSS )

能够直截了当经过 URL (类似:https://xxx.com/xxx?default= ) 注入可执行的足本代码。只是一些扫瞄器如Chrome其内置了一些XSS过滤器,能够防止大部分反射型XSS。

下面先介绍一下CSRF的原理:

四、URL跳转漏洞

关于这种方式来讲,只要开辟者配置了正确的规则,这么即使网站存在漏洞,也不能执行它的代码,同时 CSP 的兼容性也不错。

console.log(html) 

X-FRAME-OPTIONS是一具 HTTP 响应头,在现代扫瞄器有一具特别好的支持。那个 HTTP 响应头 算是为了谨防用 iframe 嵌套的点击劫持攻击

top: -0px; 

成功需要并且满脚以下几个条件:

(1) X-FRAME-OPTIONS

height: 900px; 

(4)读取服务器敏感文件

  <script> 

            + '</option>


DDoS防御

当前位置:主页 > CC防护 > 常见六大Web漏洞DDoS高防介绍和谨防方案

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119