web前后端漏洞分析与防御
3.XSS
url注入
存储到DB后读取注入
XSS攻击注入点
-
HTML节点内容 HTML属性 js代码 富文本
解决
白名单 转义 CSP
案例
富文本框里写<script>
4.CSRF
在一个页面里攻击另一个网页 本质是执行一段ajax带上要攻击的iframe了
解决
验证码 csrf token 验证referer
6.点击劫持
解决
判断top.location === window.location; top === window
js禁止内嵌
x-frame-options禁止内嵌
7.传输安全
方案
tsl(传输层协议) == SSL 常见https
8.密码安全
加密(md5)
9.SQL注入
方案
-
关闭错误输出 检查数据类型 对数据转义 通用查询避免被注入
10.上传文件漏洞
上传文件,再次访问文件,上传的文件被当成程序解析
方案
-
限制上传后缀 文件内容的检查 程序输出 权限控制 - 可写可执行互斥
12.DOS拒绝服务公司
-
模拟正常用户 大量占用服务器资源 无法服务正常用户 TCP半连接 http连接 dns
有限的方案
-
防火墙 交换机、路由器 流量清洗 高防IP(云厂商)
预防
-
避免重逻辑业务(耗时任务(不直接交互) 产生一个异步任务 去排队处理) 快速失败快速返回 防雪崩机制 有损服务(我允许我的服务核心可用) CDN(静态文件减少负载)
