系统安全

XSS攻击:

植入脚本

解决办法:

html代码转义 jstl标签 escapeXml 设置为true

CRSF攻击:

控制cookie ,漏洞系统 的链接为http请求 get方式作用,结合XSS可以实现post

解决办法:

cookies 设置HttpOnly;表单中增加token,后台生成;Referer识别(HTTP头)

SQL注入攻击:

or 1=1

解决:

orm框架

文件上传漏洞:

脚本文件

解决:

限制文件大小,上传文件要重新命名,上传者无法猜到上传的路径;很多类型的文件可以根据前几个字节判定什么类型(魔数);图片可以缩放,破坏结构

DDos攻击:

借助公网,将数量庞大的的计算机设备联合起来作为攻击平台,对一个或多个目标发动攻击,从而瘫痪目标主机。(肉鸡)
1.SYNFlood:TCP连接三次握手,第三次服务收不到客户机的ACK,会重试,对应的客户机ip放入等待队列,大量数据占用服务资源。攻击者伪造大量ip,请求server
2.DNS QueryFlood:向被攻击的服务器发送海量的域名解析请求,通常请求解析的域名是随机生成的,大部分不存在,向上请求,造成堆积
3.CC攻击HTTP Flood:控制肉鸡或者大量匿名的http代理,请求网站,加速系统资源消耗

zhang dong wechat
关注我的微信来交流技术问题吧!