1.XSS(Cross-site Scripting 跨站脚本)攻击
方式:通过获取用户的Cookie、SessionId等敏感信息,影响网站及用户数据信息安全
XSS攻击要素:
1)攻击者提交恶意代码
2)浏览器执行恶意代码
防御方式:
1.增加攻击难度,降低攻击后果
2.增加验证码功能,防止冒充用户进行操作
2.CSRF(Cross-site request forgery 跨站请求伪造)攻击
方式:攻击者以受害者名义发送恶意请求
1)攻击者利用受害者在被攻击网站的登录凭证,冒充受害者操作,而不是直接窃取数据
2)整个过程攻击者不能获取受害者登录凭证,只是冒用
3)跨站请求可以是图片url、连接、表单提交、CORS等
CSRF防御:
1)阻止不明外域的访问
同源检测,主要针对CORS
Same-site Cookie
2)提交时需要附加本域才能获取的信息Cookie
先通过请求获取Cookie,然后将保存;下次请求时,将Coolie拼接到请求的url之后,以达到校验的效果
优点:无需使用后台session,token存放在客户端易存储
缺点:Cookie中增加额外字段,容易收到XSS攻击(攻击者注入Cookie),采用这种方式最好办法就是将协议换成https
3.SQL注入
在Web应用接口注入SQL语法,破坏原有结构,达到攻击行为
4.暴力破解
解决办法:
1)增加密码负责度;
2)限制校验次数;
3)绑定手机短信的形式;