一、dos攻擊

向服務器發送數量龐大的合法數據,讓服務器分不清是不是正常請求,導致服務器接收所有的請求。海量的數據請求會使得服務器停止服務和拒絕服務。

防禦:阿里云或其它資源服務器有專門web應用防火墻

自己的服務器需要相關的設置

二、sql注入攻擊

向web連接的數據發送惡意的sql'語句,使得用戶逃過驗證和私密信息洩露。

防禦:  過濾表單,驗證表單的合法性,對表單數據進行轉義處理;

盡量縮小用戶權限

使用參數查詢接口,不要直接拼接sql語句(T-SQL:SQL 程序设计语言的增强版,它是用来让应用程式与 SQL Server 沟通的主要语言。)

三、跨站請求偽造(CSRF)

通過設置陷阱,使得已經完成驗證的用戶強制修改信息或者設定信息。 就是用戶盜用了你的用戶信息,使用你的信息發送請求。

防禦:敏感驗證使用驗證碼

使用token

驗證http Referer字段

在請求中增加token驗證

在http頭部自定義token并驗證。

四、xss(跨站腳本攻擊)

通過完成註冊的網站用戶的瀏覽器內運行非法的html和javascript腳本,從而達到攻擊的目的。

防禦:對敏感信息使用httponly,使得cookie信息不被盜取

對用戶輸入信息要進行轉義springEscapeutils

五、上傳漏洞

攻擊者將腳本文件冒充image文件上傳,從而進行攻擊

防禦:限制文件類型

採用第三方託管

https://baijiahao.baidu.com/s?id=1570688166426810&wfr=spider&for=pc

https://blog.csdn.net/zyw_anquan/article/details/22178821

https://blog.csdn.net/m18633778874/article/details/78946852

https://blog.csdn.net/lyw_lyw/article/details/79566642

https://www.cnblogs.com/Echoer/p/4781664.html

https://blog.csdn.net/lidiya007/article/details/52875712

https://www.cnblogs.com/Miss-mickey/p/6636813.html?utm_source=tuicool&utm_medium=referral

https://jingyan.baidu.com/article/54b6b9c0a5d1d22d583b4700.html

https://blog.csdn.net/imhxl/article/details/52775512

https://blog.csdn.net/shenqueying/article/details/79426884

web攻擊的更多相关文章

  1. Iptables網路連線限制及攻擊防護和相關設定

    [筆記整理]Iptables網路連線限制及攻擊防護和相關設定 1. 限制每個IP連接HTTP最大併發50個連接數 iptables -A INPUT -p tcp --dport 80 -m conn ...

  2. web前端面試題

    1.怎麼判斷一個一個變量的類型是string? typeof(obj)==="string" typeof obj==="string" obj.constru ...

  3. Flask從入門到入土(三)——Web表單

    Flask-WTF擴展可以把處理Web表單的過程變成一種愉悅的體驗.這個擴展對獨立的WTForms包進行了包裝,方便集成到Flask程序中. Flask-WTF及其依賴可使用pip安裝: pip in ...

  4. Web前端必备-Nginx知识汇总

    一.Nginx简介 Nginx是一个高性能.轻量级的Web和反向代理服务器, 其特点是占有内存及资源少.抗并发能力强. Nginx安装简单.配置简洁.启动快速便捷.支持热部署.支持 SSL.拥有高度模 ...

  5. [Python]Codecombat攻略之远边的森林Forest(1-40关)

    首页:https://cn.codecombat.com/play语言:Python 第二界面:远边的森林Forest(40关)时间:2-6小时内容:if/else.关系操作符.对象属性.处理输入网页 ...

  6. 浅谈WEB标准

    WEB标准,WEB标准.可亲可爱的WEB,什么是你定下的标准呢.这几天又又一次回归最基础的知识了,OK.言归正传,什么是WEB标准.为什么要用WEB标准? 比方说,如今的浏览器版本号多吧,chrome ...

  7. 超时空英雄传说2复仇魔神完全攻略&秘技

    ╓─╥───────────────────────────────────────────────────╥─╖ ║ ║ 超 時 空 英 雄 傳 說 2 ║ ║ ║ ║ --復 仇 魔 神-- ║ ...

  8. [Python] Codecombat攻略 远边的森林 Forest (1-40关)

    首页:https://cn.codecombat.com/play语言:Python 第二界面:远边的森林Forest(40关)时间:2-6小时内容:if/else.关系操作符.对象属性.处理输入网页 ...

  9. 推薦使用 Microsoft Anti-Cross Site Scripting Library V3.0

    原文出至: http://blog.miniasp.com/post/2009/07/29/Recommand-Microsoft-Anti-Cross-Site-Scripting-Library- ...

随机推荐

  1. ssm框架整合+Ajax异步验证

    SSM框架是目前企业比较常用的框架之一,它的灵活性.安全性相对于SSH有一定的优势.说到这,谈谈SSM和SSH的不同点,这也是企业常考初级程序员的面试题之一.说到这两套框架的不同,主要是持久层框架Hi ...

  2. Windows解压安装mysql 5.7.24,并部署多个mysql服务

    mysql官网windows安装文档 https://dev.mysql.com/doc/refman/5.7/en/windows-installation.html 第一步,选择安装包   htt ...

  3. c++面经积累<1>

    引用和指针 指针是一个实体,需要分配内存空间,而引用只是一个别名,不需要分配内存空间 指针可以有多级,而引用只能有一级. 指针和引用的自增运算不一样,指针是指向下一个空间,而引用是引用的变量值增加 s ...

  4. Scala--模式匹配和样例类

    模式匹配应用场景:switch语句,类型查询,析构,样例类 一.更好的switch val ch :Char = '+' val sign = ch match{ case '+' => 1 c ...

  5. tkinter python(图形开发界面)

    Tkinter模块("Tk 接口")是Python的标准Tk GUI工具包的接口.Tk和Tkinter可以在大多数的Unix平台下使用,同样可以应用在Windows和Macinto ...

  6. 未安装Oracle客户端的服务器上,使用ASP.NET远程连接Oracle

    公司服务器一直都是使用 .NET+SQLSERVER的开发方式,有个项目需要进行读取远程Oracle的需求.由于oracle 基本不会,也是一边做一遍摸索. 首先是使用工具测试是否已经联通,因为之前用 ...

  7. 实现多个标签页之间通信的几种方法(sharedworker)

      效果图.gif prologue 之前在网上看到一个面试题:如何实现浏览器中多个标签页之间的通信.我目前想到的方法有三种:使用websocket协议.通过localstorage.以及使用html ...

  8. Python Revisited Day 03 (组合数据类型)

    目录 第三章 组合数据类型 3.1 序列类型 3.1.1 元组 3.1.2 命名的元组 (collections.nametuple()) 3.1.3 列表 (查询有关函数点这) 3.1.4 列表内涵 ...

  9. centos 7 aufs

    Docker storage drivers | Docker Documentationhttps://docs.docker.com/storage/storagedriver/select-st ...

  10. 通过修改Tomcat配置,解决乱码问题

    贴图,问题如下: tomcat使用的默认编码方式是iso8859-1 修改tomcat下的conf/server.xml文件 找到如下代码:    <Connector port="8 ...