Open EmberYu opened 5 years ago
XSS(Cross Site Scripting)攻击的原理就是恶意往用户的页面中注入一段可以执行的脚本来获取和控制用户信息,主要有三种类型的XSS
诱导用户去点击恶意链接,类似www.abc.com/goods?sort=<script>SendMeSomeThing()</script>这样的链接,当用户点击后,script脚本中的链接将会执行。 反射型XSS攻击需要用户自己手动点击才会触发。点一次触发一次
www.abc.com/goods?sort=<script>SendMeSomeThing()</script>
script
黑客通过某个类似评论模块在评论中注入了script脚本,脚本被存储在服务器中。每次访问页面都会执行这个脚本 存储型XSS攻击用户只要访问这个含有恶意脚本的页面就会被中招,不需要交互也可以触发
常见于使用innerHTML,document.write等方法渲染页面时,黑客注入了恶意的dom脚本,类似script
innerHTML
document.write
cookie
httpOnly
htmlEncode
JavascriptEncode
URLEncode
用户登录了正常页面A,在没有退出登录的前提下访问了黑客页面B,黑客页面B携带者A的登录态向A的后端发起恶意请求。
domain
DDOS攻击很简单,就是通过控制N台计算机同时发起请求,把服务器撑爆宕机即可。
因为HTTP是明文传输,所以容易被运营商劫持并注入进自己的广告进你的页面。
HTTPS
XSS攻击
XSS(Cross Site Scripting)攻击的原理就是恶意往用户的页面中注入一段可以执行的脚本来获取和控制用户信息,主要有三种类型的XSS
反射型(非持久型)XSS
诱导用户去点击恶意链接,类似
www.abc.com/goods?sort=<script>SendMeSomeThing()</script>这样的链接,当用户点击后,script脚本中的链接将会执行。反射型XSS攻击需要用户自己手动点击才会触发。点一次触发一次
存储型(持久型)XSS
黑客通过某个类似评论模块在评论中注入了
script脚本,脚本被存储在服务器中。每次访问页面都会执行这个脚本存储型XSS攻击用户只要访问这个含有恶意脚本的页面就会被中招,不需要交互也可以触发
DOM-Based型XSS
常见于使用
innerHTML,document.write等方法渲染页面时,黑客注入了恶意的dom脚本,类似script防范XSS
cookie设置httpOnly,那么就算黑客注入了脚本,也无法通过脚本获取页面的cookie内容htmlEncode,JavascriptEncode,URLEncode转义CSRF攻击
用户登录了正常页面A,在没有退出登录的前提下访问了黑客页面B,黑客页面B携带者A的登录态向A的后端发起恶意请求。
解决方案:
cookie保存时设置domain字段。仅限官方站点访问cookieDDOS攻击
DDOS攻击很简单,就是通过控制N台计算机同时发起请求,把服务器撑爆宕机即可。
防范方案
运营商HTTP劫持
因为HTTP是明文传输,所以容易被运营商劫持并注入进自己的广告进你的页面。
解决方案
HTTPS