课程咨询: 400-996-5531 / 投诉建议: 400-111-8989
认识达内从这里开始
认真做教育 专心促就业
大家好,今天为大家介绍一下如何防御web攻击,希望大家喜欢
1. CSRF (cross-site request forgery)跨站请求伪造
一句话概括:达内告诉我们当用户浏览器同时打开危险网站和正常网站,危险网站利用图片隐藏链接,或者js文件操纵用户生成错误请求给正常网站。此时因为用户会携带自己的session验证。危险网站发出的请求得以执行。
根本原因:web的隐式身份验证机制。
解决办法:达内培训告诉我们,为每一个提交的表单生成一个随机token, 存储在session中,每次验证表单token,检查token是否正确。
2. XSS (cross site script)跨站脚本攻击
一句话概括:山东it培训告诉我们,网站对提交的数据没有转义或过滤不足,导致一些代码存储到系统中,其他用户请求时携带这些代码,从而使用户执行相应错误代码。
例如在某论坛评论中发表:
<script>alert(‘hacked’)</script>
这样的话,当其他用户浏览到这个页面,这段js代码就会被执行。尚学堂·百战程序员陈老师指出,当然,我们还可以执行一些更严重的代码来盗取用户信息。
解决办法:转移和过滤用户提交的信息
3. session攻击,会话劫持
一句话概括:用某种手段得到用户session ID,从而冒充用户进行请求。
原因:由于http本身无状态,同时如果想维持一个用户不同请求之间的状态,session ID用来认证用户。
三种方式获取用户session ID:
预测:PHP生成的session ID足够复杂并且难于预测,基本不可能;
会话劫持: URL参数传递sessionID; 隐藏域传递sessionID;比较安全的是cookie传递。但同样可以被xss攻击取得sessionID.
会话固定: 诱骗用户使用指定的sessionID进行登录,这样系统不会分配新的sessionID.
1. CSRF (cross-site request forgery)跨站请求伪造
一句话概括:达内告诉我们当用户浏览器同时打开危险网站和正常网站,危险网站利用图片隐藏链接,或者js文件操纵用户生成错误请求给正常网站。此时因为用户会携带自己的session验证。危险网站发出的请求得以执行。
根本原因:web的隐式身份验证机制。
解决办法:达内培训告诉我们,为每一个提交的表单生成一个随机token, 存储在session中,每次验证表单token,检查token是否正确。
2. XSS (cross site script)跨站脚本攻击
一句话概括:山东it培训告诉我们,网站对提交的数据没有转义或过滤不足,导致一些代码存储到系统中,其他用户请求时携带这些代码,从而使用户执行相应错误代码。
例如在某论坛评论中发表:
<script>alert(‘hacked’)</script>
这样的话,当其他用户浏览到这个页面,这段js代码就会被执行。尚学堂·百战程序员陈老师指出,当然,我们还可以执行一些更严重的代码来盗取用户信息。
解决办法:转移和过滤用户提交的信息
3. session攻击,会话劫持
一句话概括:用某种手段得到用户session ID,从而冒充用户进行请求。
原因:由于http本身无状态,同时如果想维持一个用户不同请求之间的状态,session ID用来认证用户。
三种方式获取用户session ID:
预测:PHP生成的session ID足够复杂并且难于预测,基本不可能;
会话劫持: URL参数传递sessionID; 隐藏域传递sessionID;比较安全的是cookie传递。但同样可以被xss攻击取得sessionID.
会话固定: 诱骗用户使用指定的sessionID进行登录,这样系统不会分配新的sessionID.
希望对您有所帮助
更多山东it培训相关资讯,请扫描下方二维码
< 上一篇:山东it培训:WEB
下一篇:山东it培训:PHP协成 >
2018-12-14
免费试听课程
- 全部课程
- IT课程
- 设计课程
- 运营课程
4578
最新开班时间
- 北京
- 上海
- 广州
- 深圳
- 南京
- 成都
- 武汉
- 西安
- 青岛
- 天津
- 杭州
- 重庆
- 哈尔滨
- 济南
- 沈阳
- 合肥
- 郑州
- 长春
- 苏州
- 长沙
- 昆明
- 太原
- 无锡
- 石家庄
- 南宁
- 佛山
- 珠海
- 宁波
- 保定
- 呼和浩特
- 洛阳
- 烟台
- 运城
- 潍坊
- 开课名称
- 开班时间
- 抢座
- 咨询
- 开课名称
- 开班时间
- 抢座
- 咨询
-
- Java全链路开发
- 9月29日
- 火热抢座中
- 立即咨询
- 云计算全栈开发
- 9月29日
- 火热抢座中
- 立即咨询
-
- 网络安全工程师
- 9月29日
- 火热抢座中
- 立即咨询
- 人工智能工程师
- 9月29日
- 火热抢座中
- 立即咨询
-
- 数据分析与商业智能
- 9月29日
- 火热抢座中
- 立即咨询
- C++物联网工程师
- 9月29日
- 火热抢座中
- 立即咨询
-
- Web全栈开发
- 9月29日
- 火热抢座中
- 立即咨询
- 软件测试工程师
- 9月29日
- 火热抢座中
- 立即咨询
-
- AI大模型全栈工程师
- 9月29日
- 火热抢座中
- 立即咨询
- 鸿蒙原生应用开发
- 9月29日
- 火热抢座中
- 立即咨询
-
- 智能职场办公
- 9月29日
- 火热抢座中
- 立即咨询
- VFX商业视效设计
- 9月29日
- 火热抢座中
- 立即咨询
-
- AGI商业设计变现
- 9月29日
- 火热抢座中
- 立即咨询
- UID全链路设计
- 9月29日
- 火热抢座中
- 立即咨询
-
- 新媒体电商运营
- 9月29日
- 火热抢座中
- 立即咨询
-
- Java全链路开发
- 9月29日
- 火热抢座中
- 立即咨询
- 云计算全栈开发
- 9月29日
- 火热抢座中
- 立即咨询
-
- 网络安全工程师
- 9月29日
- 火热抢座中
- 立即咨询
- C++物联网工程师
- 9月29日
- 火热抢座中
- 立即咨询
-
- Web全栈开发
- 9月29日
- 火热抢座中
- 立即咨询
- 软件测试工程师
- 9月29日
- 火热抢座中
- 立即咨询
-
- AI大模型全栈工程师
- 9月29日
- 火热抢座中
- 立即咨询
- 鸿蒙原生应用开发
- 9月29日
- 火热抢座中
- 立即咨询
-
- 智能职场办公
- 9月29日
- 火热抢座中
- 立即咨询
- VFX商业视效设计
- 9月29日
- 火热抢座中
- 立即咨询
-
- AGI商业设计变现
- 9月29日
- 火热抢座中
- 立即咨询
- UID全链路设计
- 9月29日
- 火热抢座中
- 立即咨询
-
- 新媒体电商运营
- 9月29日
- 火热抢座中
- 立即咨询
-
- 云计算全栈开发
- 9月29日
- 火热抢座中
- 立即咨询
- 网络安全工程师
- 9月29日
- 火热抢座中
- 立即咨询
-
- C++物联网工程师
- 9月29日
- 火热抢座中
- 立即咨询
- Web全栈开发
- 9月29日
- 火热抢座中
- 立即咨询
-
- 软件测试工程师
- 9月29日
- 火热抢座中
- 立即咨询
- AI大模型全栈工程师
- 9月29日
- 火热抢座中
- 立即咨询
-
- 鸿蒙原生应用开发
- 9月29日
- 火热抢座中
- 立即咨询
- 智能职场办公
- 9月29日
- 火热抢座中
- 立即咨询
-
- VFX商业视效设计
- 9月29日
- 火热抢座中
- 立即咨询
- AGI商业设计变现
- 9月29日
- 火热抢座中
- 立即咨询
-
- UID全链路设计
- 9月29日
- 火热抢座中
- 立即咨询
- 新媒体电商运营
- 9月29日
- 火热抢座中
- 立即咨询
-
- Java全链路开发
- 9月29日
- 火热抢座中
- 立即咨询
- 网络安全工程师
- 9月29日
- 火热抢座中
- 立即咨询
-
- 数据分析与商业智能
- 9月29日
- 火热抢座中
- 立即咨询
- C++物联网工程师
- 9月29日
- 火热抢座中
- 立即咨询
-
- Web全栈开发
- 9月29日
- 火热抢座中
- 立即咨询
- 软件测试工程师
- 9月29日
- 火热抢座中
- 立即咨询
-
- AI大模型全栈工程师
- 9月29日
- 火热抢座中
- 立即咨询
- 鸿蒙原生应用开发
- 9月29日
- 火热抢座中
- 立即咨询
-
- 智能职场办公
- 9月29日
- 火热抢座中
- 立即咨询
- VFX商业视效设计
- 9月29日
- 火热抢座中
- 立即咨询
-
- AGI商业设计变现
- 9月29日
- 火热抢座中
- 立即咨询
- UID全链路设计
- 9月29日
- 火热抢座中
- 立即咨询
-
- 新媒体电商运营
- 9月29日
- 火热抢座中
- 立即咨询
-
- 云计算全栈开发
- 9月29日
- 火热抢座中
- 立即咨询
- 网络安全工程师
- 9月29日
- 火热抢座中
- 立即咨询
-
- C++物联网工程师
- 9月29日
- 火热抢座中
- 立即咨询
- Web全栈开发
- 9月29日
- 火热抢座中
- 立即咨询
-
- 软件测试工程师
- 9月29日
- 火热抢座中
- 立即咨询
- AI大模型全栈工程师
- 9月29日
- 火热抢座中
- 立即咨询
-
- 鸿蒙原生应用开发
- 9月29日
- 火热抢座中
- 立即咨询
- 智能职场办公
- 9月29日
- 火热抢座中
- 立即咨询
-
- VFX商业视效设计
- 9月29日
- 火热抢座中
- 立即咨询
- AGI商业设计变现
- 9月29日
- 火热抢座中
- 立即咨询
-
- UID全链路设计
- 9月29日
- 火热抢座中
- 立即咨询
- 新媒体电商运营
- 9月29日
- 火热抢座中
- 立即咨询
预约申请试听课
400-111-8989
lihm@tedu.cn
