带你了解真正黑客入侵的常用手段及防护措施
越来越多的人能够接触到互联网。这促使许多组织开发基于web的应用程序,用户可以在线使用这些应用程序与组织进行交互。为web应用程序编写的糟糕代码可能被利用来获得对敏感数据和web服务器的未经授权的访问。
在本文中,我将向你介绍web应用程序黑客技术,以及你可以采取的防止此类攻击的应对措施。
什么是web应用程序?什么是网络威胁?
web应用程序(又名网站)是基于客户机--服务器模型的应用程序。服务器提供数据库访问和业务逻辑。它托管在web服务器上。客户机应用程序在客户机web浏览器上运行。Web应用程序通常是用Java、c#和VB等语言编写的。web应用中使用的数据库引擎包括MySQL、MS SQL Server、PostgreSQL、SQLite等。
大多数web应用程序部署在可以通过Internet访问的公共服务器上。由于易于访问,这使得它们容易受到攻击。以下是常见的web应用程序的威胁。
- SQL注入——这种威胁的目标可能是绕过登录算法,破坏数据,等等。
- 拒绝服务攻击——这种威胁的目标可能是拒绝合法用户对资源的访问。
- 跨站点脚本XSS——这种威胁的目标可能是注入可以在客户端浏览器上执行的代码。
- Cookie/Session盗取——这种威胁的目标是攻击者修改Cookie/Session数据,以获得未经授权的访问。
- 表单篡改——这种威胁的目标是修改电子商务应用程序中的价格等表单数据,以便攻击者能够以较低的价格获得商品。
- 代码注入——这种威胁的目标是注入可以在服务器上执行的代码,如PHP、Python等。代码可以安装后门,透露敏感信息等。
- 破坏——这种威胁的目标是修改网站上显示的页面,并将所有页面请求重定向到包含攻击者消息的单个页面。
如何保护你的网站免受黑客攻击?
组织可以采用以下策略来保护自己不受web服务器攻击。
- SQL注入——在将用户参数提交到数据库进行处理之前对其进行清理和验证,可以帮助降低通过SQL注入受到攻击的几率。数据库引擎,如MS SQL Server, MySQL等,支持参数和预备语句。它们比传统的SQL语句安全得多
- 拒绝服务攻击——如果攻击是简单的DoS,则可以使用防火墙来拦截来自可疑IP地址的流量。适当的网络配置和入侵检测系统也有助于减少DoS攻击成功的机会。
- 跨站点脚本XSS——验证和清理headers、通过URL传递的参数、表单参数和隐藏值可以帮助减少XSS攻击。
- Cookie/Session中毒——这可以通过加密Cookie的内容、设置过期时间、将Cookie与用于创建它们的客户端IP地址关联来防止。
- 表单篡改——通过在处理之前验证和验证用户输入,可以防止这种情况。
- 代码注入——这可以通过将所有参数视为数据而不是可执行代码来防止。可以使用消毒和验证来实现这一点。
- 破坏——一个好的web应用程序开发安全策略应该确保它密封了访问web服务器的常用漏洞。这可以是操作系统、web服务器软件的适当配置,以及开发web应用程序时的最佳安全实践。
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
一文了解如何有效的防护DDoS攻击
想象一下有人使用不同的电话号码一遍又一遍地打电话给你,而你也无法将他们列入黑名单。最终你可能会选择关闭手机,从而避免骚扰。这个场景就是常见的分布式拒绝服务(DDoS)攻击的样子。 乔布斯(Steve Jobs)推出第一款iPhone之前,DDoS攻击就已经存在了。它们非常受黑客欢迎,因为它们非常有效,易于启动,并且几乎不会留下痕迹。那么如何防御DDoS攻击呢?你能否确保对你的web服务器和应用程序提供高级别的DDoS攻击防护?在本文中,我们将讨论如何防止DDoS攻击,并将介绍一些特定的DDoS保护和预防技术。 DDoS攻击的类型和方法 分布式拒绝服务攻击(简称DDoS)是一种协同攻击,旨在使受害者的资源无法使用。它可以由一个黑客组织协同行动,也可以借助连接到互联网的多个受破坏设备来执行。这些在攻击者控制下的设备通常称为僵尸网络。 有多种执行DDoS攻击的工具:例如Trinoo,Stacheldraht,Shaft,Knight,Mstream等。这些工具的可用性是DDoS攻击如此广泛和流行的原因之一。 DDoS攻击可以持续数百小时 DDoS攻击可能持续几分钟、几小时、甚至是几天。卡巴斯...
- 下一篇
spring boot 若依系统整合Ueditor,部署时候上传图片错误解决
spring boot 若依系统整合Ueditor,部署时候上传图片错误解决 前言:国庆假期找了个ruoyi版本的cms玩玩,从git上看,介绍如下图: 后台部分截图: 编辑 编辑 编辑 编辑 前台blog截图: 编辑 编辑 看上去还可以不错,于是clone下来玩玩,结果发现,发布文章的时候,编辑器有问题,上传不了图片,还有其他几个地方有问题,怎么解决呢?自己上手撸代码,修改呗。于是,下载了ueditor的源码,加到项目中,进行修改。现在已经修改完成,并且也发布到的服务器上了,欢迎大家访问测试。文末会有凯哥修改后的git地址o~ 正文: 在spring boot整合UEditor的时候,本地idea编辑器中没问题,但是部署服务器上,上传图片提示:“后端配置项没有正常加载,上传插件不能正常使用!”解决办法。 出现这种情况,可以很负责任的告诉你99%是因为,在加载的时候,没有获取到ueditor的config.json文件。怎么处理了? 分析原因: 查看原来文件存放位置: 在resources的static下,正常来说,是没有问题的。但是spring boot打成jar包后的路径和war包...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
-
Docker使用Oracle官方镜像安装(12C,18C,19C)
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- CentOS8编译安装MySQL8.0.19
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- MySQL8.0.19开启GTID主从同步CentOS8
- CentOS7,8上快速安装Gitea,搭建Git服务器
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果
推荐阅读
最新文章
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- CentOS7编译安装Cmake3.16.3,解决mysql等软件编译问题
- Hadoop3单机部署,实现最简伪集群
- CentOS6,CentOS7官方镜像安装Oracle11G
- CentOS7安装Docker,走上虚拟化容器引擎之路
- SpringBoot2全家桶,快速入门学习开发网站教程
- SpringBoot2初体验,简单认识spring boot2并且搭建基础工程
- Windows10,CentOS7,CentOS8安装MongoDB4.0.16
- CentOS8安装MyCat,轻松搞定数据库的读写分离、垂直分库、水平分库