搜文章
推荐 原创 视频 Java开发 iOS开发 前端开发 JavaScript开发 Android开发 PHP开发 数据库 开发工具 Python开发 Kotlin开发 Ruby开发 .NET开发 服务器运维 开放平台 架构师 大数据 云计算 人工智能 开发语言 其它开发
Lambda在线 > PHP在线 > 常见的 CSRF、XSS、sql注入、DDOS流量攻击

常见的 CSRF、XSS、sql注入、DDOS流量攻击

PHP在线 2018-06-29

CSRF攻击 :跨站请求伪造攻击 ,CSRF全名是Cross-site request forgery,是一种对网站的恶意利用,CSRF比XSS更具危险性

攻击者一般会使用吸引人的图片去引导用户点击进去他设定好的全套,然后你刚登录的A网站没有关闭,这时候攻击者会利用JS事件去模拟用户请求A网站信息,从而就得到了目的。预防措施:为表单提交都加上自己定义好的token然后加密好,后台也一样的规则然后进行对比。

XSS攻击:跨站脚本攻击, XSS攻击是Web攻击中最常见的攻击方法之一,它是通过对网页注入可执行代码且成功地被浏览器执行,达到攻击的目的,形成了一次有效XSS攻击,一旦攻击成功,它可以获取用户的联系人列表,然后向联系人发送虚假诈骗信息,可以删除用户的日志等等,有时候还和其他攻击方式同时实施比如SQL注入攻击服务器和数据库、Click劫持、相对链接劫持等实施钓鱼,它带来的危害是巨大的,是web安全的头号大敌.

攻击者一般通过script标签对网站注入一些可执行的代码,这样就可以很轻松的获取到用户的一些信息。预防措施:strip_tags() 函数,过滤掉输入、输出里面的恶意标签和使用htmlentities()函数把标签字符串转换成html实体。
可以利用下面的这些函数对出现的xss漏洞的参数进行过滤;
1.htmlspecialchars()函数,用于转义处理在页面上显示的文本;
2.htmlentities()函数,用于转义处理在页面上显示的文本;
3.strip_tags()函数,过滤掉输入,输出里面的标签;
4.header()函数,使用header("Content-type:application/json");
5.urlencode()函数,用于输出处理字符型参数带入页面链接中。
6.inval()函数用于处理数值型参数输出页面中。

sql注入:就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。

~上图因为没有做预防措施所以导致直接登录成功!!

总结:

1、对用户输入的内容要时刻保持警惕。
2、只有客户端的验证等于没有验证。
3、永远不要把服务器错误信息暴露给用户
预防措施:把一些sql语句进行过滤,比如delete update insert select * 或者使用PDO占位符进行转义。

DDOS流量攻击:攻击者通过漏洞往网页进行病毒木马的注入,一旦中了招,就成功成为肉鸡。

最常见的攻击其中有一种SYN攻击,它利用tcp协议往服务器发送大量的半连接请求,当半连接队列达到最大值的时候,正常的数据包会被服务器丢弃,最后你网站可能一分钟不到就不不开了。

预防措施:

链接:https://blog.csdn.net/echo_laodong/article/details/79254552




版权声明:本站内容全部来自于腾讯微信公众号,属第三方自助推荐收录。《常见的 CSRF、XSS、sql注入、DDOS流量攻击》的版权归原作者「PHP在线」所有,文章言论观点不代表Lambda在线的观点, Lambda在线不承担任何法律责任。如需删除可联系QQ:516101458

文章来源: 阅读原文

相关阅读

关注PHP在线微信公众号

PHP在线微信公众号:phpdaily

PHP在线

手机扫描上方二维码即可关注PHP在线微信公众号

PHP在线最新文章

精品公众号随机推荐

上一篇 >>

Grammar Tales Bundle

下一篇 >>

google translate xss