微信号:phpdaily

介绍:PHP在线专注于PHP编程语言学习,PHP开发经验分享,工作问题解决以及PHP在线技能测评等多功能为一体的服务系统,希望给工作学习中的PHPER带来些帮助。

常见的 CSRF、XSS、sql注入、DDOS流量攻击

2018-06-24 17:02 echo_laodong

微信公众号:PHP在线

CSRF攻击 :跨站请求伪造攻击 ,CSRF全名是Cross-site request forgery,是一种对网站的恶意利用,CSRF比XSS更具危险性

攻击者一般会使用吸引人的图片去引导用户点击进去他设定好的全套,然后你刚登录的A网站没有关闭,这时候攻击者会利用JS事件去模拟用户请求A网站信息,从而就得到了目的。预防措施:为表单提交都加上自己定义好的token然后加密好,后台也一样的规则然后进行对比。

XSS攻击:跨站脚本攻击, XSS攻击是Web攻击中最常见的攻击方法之一,它是通过对网页注入可执行代码且成功地被浏览器执行,达到攻击的目的,形成了一次有效XSS攻击,一旦攻击成功,它可以获取用户的联系人列表,然后向联系人发送虚假诈骗信息,可以删除用户的日志等等,有时候还和其他攻击方式同时实施比如SQL注入攻击服务器和数据库、Click劫持、相对链接劫持等实施钓鱼,它带来的危害是巨大的,是web安全的头号大敌.

攻击者一般通过script标签对网站注入一些可执行的代码,这样就可以很轻松的获取到用户的一些信息。预防措施:strip_tags() 函数,过滤掉输入、输出里面的恶意标签和使用htmlentities()函数把标签字符串转换成html实体。
可以利用下面的这些函数对出现的xss漏洞的参数进行过滤;
1.htmlspecialchars()函数,用于转义处理在页面上显示的文本;
2.htmlentities()函数,用于转义处理在页面上显示的文本;
3.strip_tags()函数,过滤掉输入,输出里面的标签;
4.header()函数,使用header("Content-type:application/json");
5.urlencode()函数,用于输出处理字符型参数带入页面链接中。
6.inval()函数用于处理数值型参数输出页面中。

sql注入:就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。

~上图因为没有做预防措施所以导致直接登录成功!!

总结:

1、对用户输入的内容要时刻保持警惕。
2、只有客户端的验证等于没有验证。
3、永远不要把服务器错误信息暴露给用户
预防措施:把一些sql语句进行过滤,比如delete update insert select * 或者使用PDO占位符进行转义。

DDOS流量攻击:攻击者通过漏洞往网页进行病毒木马的注入,一旦中了招,就成功成为肉鸡。

最常见的攻击其中有一种SYN攻击,它利用tcp协议往服务器发送大量的半连接请求,当半连接队列达到最大值的时候,正常的数据包会被服务器丢弃,最后你网站可能一分钟不到就不不开了。

预防措施:

1、正确设置防火墙
2、禁止对主机的非开放服务的访问
3、限制特定IP地址的访问
4、启用防火墙的防DDoS的属性
5、严格限制对外开放的服务器的向外访问
6、运行端口映射程序祸端口扫描程序,要认真检查特权端口和非特权端口。过滤没必要的服务和端口、定期扫描漏洞进行处理、利用路由器进行防护(路由器死掉后重启一下即可不会影响服务器)或者网路没有瘫痪的情况下,可以查一下攻击来源,然后临时把这些IP过滤一下。

链接:https://blog.csdn.net/echo_laodong/article/details/79254552




 
PHP在线 更多文章 《Web全栈工程师的自我修养》浓缩笔记(下) 浏览器访问一个网站所经历的步骤 JavaScript核心概念归纳整理 优秀程序员的10个习惯 为什么in_array(0, ['a', 'b', 'c'])返回true
猜您喜欢 泰国程序员不会英语,却得了英语世界第三名! 跨域资源共享CORS详解 基于nginx和consul构建高可用及自动发现的docker服务架构【上】 360互联网技术训练营第九期——360容器技术解密与实践 分享图片