當前位置:首頁 » 網頁前端 » web攻擊與防範
擴展閱讀
點出現字的密碼是多少 2022-10-04 09:28:29
如何上傳一段文字到網上 2022-10-04 09:28:18

web攻擊與防範

發布時間: 2022-08-20 01:00:33

❶ Web前端新手應該如何防禦XSS攻擊

今天小編要跟大家分享的文章是關於Web前端新手應該如何防禦XSS攻擊。作為JS系工程師接觸最多的漏洞我想就是XSS漏洞了,然而並不是所有的同學對其都有一個清晰的認識。今天我們分享一下XSS漏洞攻擊,希望能幫助到大家。下面我們來一起看一看吧!一、什麼是XSS攻擊XSS(Cross-SiteScripting)又稱跨站腳本,XSS的重點不在於跨站點,而是在於腳本的執行。XSS是一種經常出現在Web應用程序中的計算機安全漏洞,是由於Web應用程序對用戶的輸入過濾不足而產生的。


常見的XSS攻擊有三種:反射型、DOM-based型、存儲型。其中反射型、DOM-based型可以歸類為非持久型XSS攻擊,存儲型歸類為持久型XSS攻擊。


1、反射型


反射型XSS一般是攻擊者通過特定手法(如電子郵件),誘使用戶去訪問一個包含惡意代碼的URL,當受害者點擊這些專門設計的鏈接的時候,惡意代碼會直接在受害者主機上的瀏覽器執行。


對於訪問者而言是一次性的,具體表現在我們把我們的惡意腳本通過URL的方式傳遞給了伺服器,而伺服器則只是不加處理的把腳本「反射」回訪問者的瀏覽器而使訪問者的瀏覽器執行相應的腳本。反射型XSS的觸發有後端的參與,要避免反射性XSS,必須需要後端的協調,後端解析前端的數據時首先做相關的字串檢測和轉義處理。


此類XSS通常出現在網站的搜索欄、用戶登錄口等地方,常用來竊取客戶端Cookies或進行釣魚欺騙。


整個攻擊過程大約如下:

2、DOM-based型


客戶端的腳本程序可以動態地檢查和修改頁面內容,而不依賴於伺服器端的數據。例如客戶端如從URL中提取數據並在本地執行,如果用戶在客戶端輸入的數據包含了惡意的JavaScript腳本,而這些腳本沒有經過適當的過濾和消毒,那麼應用程序就可能受到DOM-basedXSS攻擊。需要特別注意以下的用戶輸入源document.URL、location.hash、location.search、document.referrer等。


整個攻擊過程大約如下:

3、存儲型


攻擊者事先將惡意代碼上傳或儲存到漏洞伺服器中,只要受害者瀏覽包含此惡意代碼的頁面就會執行惡意代碼。這就意味著只要訪問了這個頁面的訪客,都有可能會執行這段惡意腳本,因此儲存型XSS的危害會更大。


存儲型XSS一般出現在網站留言、評論、博客日誌等交互處,惡意腳本存儲到客戶端或者服務端的資料庫中。


整個攻擊過程大約如下:


二、XSS攻擊的危害XSS可以導致:


1、攻擊劫持訪問;


2、盜用cookie實現無密碼登錄;


3、配合csrf攻擊完成惡意請求;


4、使用js或css破壞頁面正常的結構與樣式等;三、防禦方法1、XSS防禦之HTML編碼


應用范圍:將不可信數據放入到HTML標簽內(例如div、span等)的時候進行HTML編碼。


編碼規則:將&<>"'/轉義為實體字元(或者十進制、十六進制)。


示例代碼:


_unction_ncodeForHTML(str,_wargs){
__return(''+_tr)
___.replace(/&/g,'&')
___.replace(/<_EX=><_ntity=><
___.replace(/>/g,'>')
___.replace(/"/g,'"')
___.replace(/'/g,''')_//'_煌萍觶蛭輝_TML規范中
___.replace(///g,'/');
_};


HTML有三種編碼表現方式:十進制、十六進制、命名實體。例如小於號(<)可以編碼為"十進制><","十六進制=><","命名實體=><"三種方式。對於單引號(')由於實體字元編碼方式不在HTML規范中,所以此處使用了十六進制編碼。


2、XSS防禦之HTMLAttribute編碼


應用范圍:將不可信數據放入HTML屬性時(不含src、href、style和事件處理屬性),進行HTMLAttribute編碼


編碼規則:除了字母數字字元以外,使用HH;(或者可用的命名實體)格式來轉義ASCII值小於256所有的字元


示例代碼:


_unction_ncodeForHTMLAttibute(str,_wargs){
__let_ncoded=''
__for(let_=0;_<_tr.length;_++)_
___let_h=_ex=_tr[i];
___if(!/[A-Za-z0-9]/.test(str[i])&&_tr.charCodeAt(i)<256)_
____hex='&#x'+_h.charCodeAt(0).toString(16)+''
___}
___encoded+=_ex;
__}
__return_ncoded;
_};


3、XSS防禦之JavaScript編碼


作用范圍:將不可信數據放入事件處理屬性、JavaScirpt值時進行JavaScript編碼


編碼規則:除字母數字字元外,請使用xHH格式轉義ASCII碼小於256的所有字元


示例代碼:


_unction_ncodeForJavascript(str,_wargs)_
__let_ncoded=''
__for(let_=0;_<_tr.length;_++)_
___let_c=_ex=_tr[i];
___if(!/[A-Za-z0-9]/.test(str[i])&&_tr.charCodeAt(i)<256)_
____hex='\x'+_c.charCodeAt().toString(16);
___}
___encoded+=_ex;
__}
__return_ncoded;
_};


4、XSS防禦之URL編碼


作用范圍:將不可信數據作為URL參數值時需要對參數進行URL編碼


編碼規則:將參數值進行encodeURIComponent編碼


示例代碼:


_function_ncodeForURL(str,_wargs){
__return_ncodeURIComponent(str);
_};


5、XSS防禦之CSS編碼


作用范圍:將不可信數據作為CSS時進行CSS編碼


編碼規則:除了字母數字字元以外,使用XXXXXX格式來轉義ASCII值小於256的所有字元


示例代碼:


_unction_ncodeForCSS(attr,_tr,_wargs){
__let_ncoded=''
__for(let_=0;_<_tr.length;_++)_
___let_h=_tr.charAt(i);
___if(!ch.match(/[a-zA-Z0-9]/)_
____let_ex=_tr.charCodeAt(i).toString(16);
____let_ad=�'.substr((hex.length));
____encoded+='\'+_ad+_ex;
___}_lse_
____encoded+=_h;
___}
__}
__return_ncoded;
_};後記在任何時候用戶的輸入都是不可信的。對於HTTP參數,理論上都要進行驗證,例如某個欄位是枚舉類型,其就不應該出現枚舉以為的值;對於不可信數據的輸出要進行相應的編碼;此外httpOnly、CSP、X-XSS-Protection、SecureCookie等也可以起到有效的防護。


XSS漏洞有時比較難發現,所幸當下React、Vue等框架都從框架層面引入了XSS防禦機制,一定程度上解放了我們的雙手。但是作為開發人員依然要了解XSS基本知識、於細節處避免製造XSS漏洞。框架是輔助,我們仍需以人為本,規范開發習慣,提高Web前端安全意識。


以上就是小編今天為大家分享的關於Web前端新手應該如何防禦XSS攻擊的文章,希望本篇文章能夠對正在從事web前端工作的小夥伴們有所幫助。想要了解更多web前端相關知識記得關注北大青鳥web培訓官網。最後祝願小夥伴們工作順利!


作者:公子
鏈接:#/a/1190000017057646


❷ web攻擊有哪些怎麼防護

1、DoS和DDoS攻擊(DoS(Denial of Service),即拒絕服務,造成遠程伺服器拒絕服務的行為被稱為DoS攻擊。其目的是使計算機或網路無法提供正常的服務。最常見的DoS攻擊有計算機網路帶寬攻擊和連通性攻擊)
防範:(1) 反欺騙:對數據包的地址及埠的正確性進行驗證,同時進行反向探測。(2) 協議棧行為模式分析:每個數據包類型需要符合RFC規定,這就好像每個數據包都要有完整規范的著裝,只要不符合規范,就自動識別並將其過濾掉。(3) 特定應用防護:非法流量總是有一些特定特徵的,這就好比即便你混進了顧客群中,但你的行為還是會暴露出你的動機,比如老重復問店員同一個問題,老做同樣的動作,這樣你仍然還是會被發現的。(4) 帶寬控制:真實的訪問數據過大時,可以限制其最大輸出的流量,以減少下游網路系統的壓力。
2、CSRF(Cross Site Request Forgery),即跨站請求偽造,是一種常見的Web攻擊,但很多開發者對它很陌生。CSRF也是Web安全中最容易被忽略的一種攻擊。
防範:(1) 驗證碼。應用程序和用戶進行交互過程中,特別是賬戶交易這種核心步驟,強制用戶輸入驗證碼,才能完成最終請求。在通常情況下,驗證碼夠很好地遏制CSRF攻擊。但增加驗證碼降低了用戶的體驗,網站不能給所有的操作都加上驗證碼。所以只能將驗證碼作為一種輔助手段,在關鍵業務點設置驗證碼。(2) Referer Check。HTTP Referer是header的一部分,當瀏覽器向web伺服器發送請求時,一般會帶上Referer信息告訴伺服器是從哪個頁面鏈接過來的,伺服器籍此可以獲得一些信息用於處理。可以通過檢查請求的來源來防禦CSRF攻擊。正常請求的referer具有一定規律,如在提交表單的referer必定是在該頁面發起的請求。所以通過檢查http包頭referer的值是不是這個頁面,來判斷是不是CSRF攻擊。但在某些情況下如從https跳轉到http,瀏覽器處於安全考慮,不會發送referer,伺服器就無法進行check了。若與該網站同域的其他網站有XSS漏洞,那麼攻擊者可以在其他網站注入惡意腳本,受害者進入了此類同域的網址,也會遭受攻擊。出於以上原因,無法完全依賴Referer Check作為防禦CSRF的主要手段。但是可以通過Referer Check來監控CSRF攻擊的發生。(3) Anti CSRF Token。目前比較完善的解決方案是加入Anti-CSRF-Token,即發送請求時在HTTP 請求中以參數的形式加入一個隨機產生的token,並在伺服器建立一個攔截器來驗證這個token。伺服器讀取瀏覽器當前域cookie中這個token值,會進行校驗該請求當中的token和cookie當中的token值是否都存在且相等,才認為這是合法的請求。否則認為這次請求是違法的,拒絕該次服務。這種方法相比Referer檢查要安全很多,token可以在用戶登陸後產生並放於session或cookie中,然後在每次請求時伺服器把token從session或cookie中拿出,與本次請求中的token 進行比對。由於token的存在,攻擊者無法再構造出一個完整的URL實施CSRF攻擊。但在處理多個頁面共存問題時,當某個頁面消耗掉token後,其他頁面的表單保存的還是被消耗掉的那個token,其他頁面的表單提交時會出現token錯誤。
3、XSS(Cross Site Scripting),跨站腳本攻擊。為和層疊樣式表(Cascading Style Sheets,CSS)區分開,跨站腳本在安全領域叫做「XSS」。
防範:(1) 輸入過濾。永遠不要相信用戶的輸入,對用戶輸入的數據做一定的過濾。如輸入的數據是否符合預期的格式,比如日期格式,Email格式,電話號碼格式等等。這樣可以初步對XSS漏洞進行防禦。上面的措施只在web端做了限制,攻擊者通抓包工具如Fiddler還是可以繞過前端輸入的限制,修改請求注入攻擊腳本。因此,後台伺服器需要在接收到用戶輸入的數據後,對特殊危險字元進行過濾或者轉義處理,然後再存儲到資料庫中。(2) 輸出編碼。伺服器端輸出到瀏覽器的數據,可以使用系統的安全函數來進行編碼或轉義來防範XSS攻擊。在PHP中,有htmlentities()和htmlspecialchars()兩個函數可以滿足安全要求。相應的JavaScript的編碼方式可以使用JavascriptEncode。(3) 安全編碼。開發需盡量避免Web客戶端文檔重寫、重定向或其他敏感操作,同時要避免使用客戶端數據,這些操作需盡量在伺服器端使用動態頁面來實現。(4) HttpOnly Cookie。預防XSS攻擊竊取用戶cookie最有效的防禦手段。Web應用程序在設置cookie時,將其屬性設為HttpOnly,就可以避免該網頁的cookie被客戶端惡意JavaScript竊取,保護用戶cookie信息。(5)WAF(Web Application Firewall),Web應用防火牆,主要的功能是防範諸如網頁木馬、XSS以及CSRF等常見的Web漏洞攻擊。由第三方公司開發,在企業環境中深受歡迎。
4、sql注入(SQL Injection),應用程序在向後台資料庫傳遞SQL(Structured Query Language,結構化查詢語言)時,攻擊者將SQL命令插入到Web表單提交或輸入域名或頁面請求的查詢字元串,最終達到欺騙伺服器執行惡意的SQL命令。
防範:(1) 防止系統敏感信息泄露。設置php.ini選項display_errors=off,防止php腳本出錯之後,在web頁面輸出敏感信息錯誤,讓攻擊者有機可乘。(2) 數據轉義。設置php.ini選項magic_quotes_gpc=on,它會將提交的變數中所有的』(單引號),」(雙引號),\(反斜杠),空白字元等都在前面自動加上\。或者採用mysql_real_escape()函數或addslashes()函數進行輸入參數的轉義。(3) 增加黑名單或者白名單驗證。白名單驗證一般指,檢查用戶輸入是否是符合預期的類型、長度、數值范圍或者其他格式標准。黑名單驗證是指,若在用戶輸入中,包含明顯的惡意內容則拒絕該條用戶請求。在使用白名單驗證時,一般會配合黑名單驗證。
5、上傳漏洞在DVBBS6.0時代被黑客們利用的最為猖獗,利用上傳漏洞可以直接得到WEBSHELL,危害等級超級高,現在的入侵中上傳漏洞也是常見的漏洞。該漏洞允許用戶上傳任意文件可能會讓攻擊者注入危險內容或惡意代碼,並在伺服器上運行。
防範: (1)檢查伺服器是否判斷了上傳文件類型及後綴。 (2) 定義上傳文件類型白名單,即只允許白名單裡面類型的文件上傳。 (3) 文件上傳目錄禁止執行腳本解析,避免攻擊者進行二次攻擊。 Info漏洞 Info漏洞就是CGI把輸入的參數原樣輸出到頁面,攻擊者通過修改輸入參數而達到欺騙用戶的目的。

❸ web伺服器被攻擊,如何檢查並防範呢!

1、先看日誌是什麼類型的攻擊,
2、如果是CC,則可以在網站程序上增加防攻擊代碼或用軟防火牆;
3、如果是DDOS,那得換具有硬防抗DDOS攻擊的機房;
4、如果是入侵,那需找相應的防入侵方法。
5、如果伺服器是在美國那就好辦了,找【紅盾 免費對抗攻擊】,他們有提供專業的免費對抗服務。
6、如果是被掛外鍵刷網站流量,則可以增加防盜鏈方法,避免盜鏈。

❹ 如何防範常見的 Web 攻擊

今天,從開發人員的角度,並結合我在開發過程中遇到的問題,說說《如何防範常見的Web攻擊》話題。

SQL注入攻擊

SQL注入攻擊,這個是最常聊到的話題,使用過Java的開發人員,第一個反應就是一定要使用預編譯的PrepareStatement,是吧?

什麼是SQL注入攻擊

攻擊者在HTTP請求中注入惡意的SQL代碼,伺服器使用參數構建資料庫SQL命令時,惡意SQL被一起構造,並在資料庫中執行。

用戶登錄,輸入用戶名 lianggzone,密碼 『 or 『1』=』1 ,如果此時使用參數構造的方式,就會出現

❺ 如何防止web攻擊

SQL注入攻擊(SQL Injection)
攻擊者把SQL命令插入到Web表單的輸入域或頁面請求的字元串,欺騙伺服器執行惡意的SQL命令。在某些表單中,用戶輸入的內容直接用來構造(或者影響)動態SQL命令,或作為存儲過程的輸入參數,這類表單特別容易受到SQL注入式攻擊。
常見的SQL注入式攻擊過程類如:
1.某個Web應用有一個登錄頁面,這個登錄頁面控制著用戶是否有權訪問應用,它要求用戶輸入一個名稱和密碼;
2.登錄頁面中輸入的內容將直接用來構造動態的SQL命令,或者直接用作存儲過程的參數;
例如:
$query = 'SELECT * from Users WHERE login = ' . $username . ' AND password = ' . $password;
3.攻擊者在用戶名字和密碼輸入框中輸入'或'1'='1之類的內容;
4.用戶輸入的內容提交給伺服器之後,伺服器運行上面的代碼構造出查詢用戶的SQL命令,但由於攻擊者輸入的內容非常特殊,所以最後得到的SQL命令變成:
SELECT * from Users WHERE login = '' or '1'='1' AND password = '' or '1'='1';
5.伺服器執行查詢或存儲過程,將用戶輸入的身份信息和伺服器中保存的身份信息進行對比;
6.由於SQL命令實際上已被注入式攻擊修改,已經不能真正驗證用戶身份,所以系統會錯誤地授權給攻擊者。
如果攻擊者知道應用會將表單中輸入的內容直接用於驗證身份的查詢,他就會嘗試輸入某些特殊的SQL字元串篡改查詢改變其原來的功能,欺騙系統授予訪問許可權。
系統環境不同,攻擊者可能造成的損害也不同,這主要由應用訪問資料庫的安全許可權決定。如果用戶的帳戶具有管理員或其他比較高級的許可權,攻擊者就可能對資料庫的表執行各種他想要做的操作,包括添加、刪除或更新數據,甚至可能直接刪除表
防範方法:
1.檢查變數數據類型和格式
2.過濾特殊符號
3.綁定變數,使用預編譯語句

跨網站腳本攻擊(Cross Site scripting, XSS)
攻擊者將惡意代碼注入到網頁上,其他用戶在載入網頁時就會執行代碼,攻擊者可能得到包括但不限於更高的許可權(如執行一些操作)、私密網頁內容、會話和cookie等各種內容。這些惡意代碼通常是javascript、HTML以及其他客戶端腳本語言。
例如:
<?php
echo "歡迎您,".$_GET['name'];

常用的攻擊手段有:
盜用cookie,獲取敏感信息;
利用iframe、frame、xmlHttpRequest或上述Flash等方式,以(被攻擊)用戶的身份執行一些管理動作,或執行一些一般的如發微博、加好友、發私信等操作;
利用可被攻擊的域受到其他域信任的特點,以受信任來源的身份請求一些平時不允許的操作,如進行不當的投票活動;
在訪問量極大的一些頁面上的XSS可以攻擊一些小型網站,實現DDoS攻擊的效果。
防範方法:使用htmlspecialchars函數將特殊字元轉換成HTML編碼,過濾輸出的變數

跨網站請求偽造攻擊(Cross Site Request Forgeries, CSRF)
攻擊者偽造目標用戶的HTTP請求,然後此請求發送到有CSRF漏洞的網站,網站執行此請求後,引發跨站請求偽造攻擊。攻擊者利用隱蔽的HTTP連接,讓目標用戶在不注意的情況下單擊這個鏈接,由於是用戶自己點擊的,而他又是合法用戶擁有合法許可權,所以目標用戶能夠在網站內執行特定的HTTP鏈接,從而達到攻擊者的目的。
它與XSS的攻擊方法不同,XSS利用漏洞影響站點內的用戶,攻擊目標是同一站點內的用戶者,而CSRF 通過偽裝成受害用戶發送惡意請求來影響Web系統中受害用戶的利益。
例如:
某個購物網站購買商品時,採用shop.com/buy.php?item=watch&num=100
item參數確定要購買什麼物品,num參數確定要購買數量,如果攻擊者以隱藏的方式發送給目標用戶鏈接那麼如果目標用戶不小心訪問以後,購買的數量就成了100個
防範方法:
1、檢查網頁的來源
2、檢查內置的隱藏變數
3、使用POST,不要使用GET,處理變數也不要直接使用$_REQUEST

Session固定攻擊(Session Fixation)
這種攻擊方式的核心要點就是讓合法用戶使用攻擊者預先設定的session id來訪問被攻擊的應用程序,一旦用戶的會話ID被成功固定,攻擊者就可以通過此session id來冒充用戶訪問應用程序。
例如:
1.攻擊者訪問網站bank.com,獲取他自己的session id,如:SID=123;
2.攻擊者給目標用戶發送鏈接,並帶上自己的session id,如:bank.com/?SID=123;
3.目標用戶點擊了bank.com/?SID=123,像往常一樣,輸入自己的用戶名、密碼登錄到網站;
4.由於伺服器的session id不改變,現在攻擊者點擊bank.com/?SID=123,他就擁有了目標用戶的身份,可以為所欲為了。
防範方法:
1.定期更改session id
session_regenerate_id(TRUE);//刪除舊的session文件,每次都會產生一個新的session id。默認false,保留舊的session
2.更改session的名稱
session的默認名稱是PHPSESSID,此變數會保存在cookie中,如果攻擊者不抓包分析,就不能猜到這個名稱,阻擋部分攻擊[code]session_name("mysessionid");
復制代碼
3.關閉透明化session id
透明化session id指當瀏覽器中的http請求沒有使用cookie來制定session id時,sessioin id使用鏈接來傳遞
int_set("session.use_trans_sid", 0);
復制代碼
4.只從cookie檢查session id
int_set("session.use_cookies", 1);//表示使用cookies存放session id
int_set("session.use_only_cookies", 1);//表示只使用cookies存放session id
復制代碼
5.使用URL傳遞隱藏參數
$sid = md5(uniqid(rand()), TRUE));
$_SESSION["sid"] = $sid;//攻擊者雖然能獲取session數據,但是無法得知$sid的值,只要檢查sid的值,就可以確認當前頁面是否是web程序自己調用的
Session劫持攻擊(Session Hijacking)
會話劫持是指攻擊者利用各種手段來獲取目標用戶的session id。一旦獲取到session id,那麼攻擊者可以利用目標用戶的身份來登錄網站,獲取目標用戶的操作許可權。
攻擊者獲取目標用戶session id的方法:
1.暴力破解:嘗試各種session id,直到破解為止;
2.計算:如果session id使用非隨機的方式產生,那麼就有可能計算出來;
3.竊取:使用網路截獲,xss攻擊等方法獲得
防範方法:
1.定期更改session id
2.更改session的名稱
3.關閉透明化session id
4.設置HttpOnly。通過設置Cookie的HttpOnly為true,可以防止客戶端腳本訪問這個Cookie,從而有效的防止XSS攻擊。
文件上傳漏洞攻擊(File Upload Attack)
文件上傳漏洞指攻擊者利用程序缺陷繞過系統對文件的驗證與處理策略將惡意代碼上傳到伺服器並獲得執行伺服器端命令的能力。
常用的攻擊手段有:
上傳Web腳本代碼,Web容器解釋執行上傳的惡意腳本;
上傳Flash跨域策略文件crossdomain.xml,修改訪問許可權(其他策略文件利用方式類似);
上傳病毒、木馬文件,誘騙用戶和管理員下載執行;
上傳包含腳本的圖片,某些瀏覽器的低級版本會執行該腳本,用於釣魚和欺詐。
總的來說,利用的上傳文件要麼具備可執行能力(惡意代碼),要麼具備影響伺服器行為的能力(配置文件)。
防範方法:
1.文件上傳的目錄設置為不可執行;
2.判斷文件類型,設置白名單。對於圖片的處理,可以使用壓縮函數或者resize函數,在處理圖片的同時破壞圖片中可能包含的HTML代碼;
3.使用隨機數改寫文件名和文件路徑:一個是上傳後無法訪問;再來就是像shell.php.rar.rar和crossdomain.xml這種文件,都將因為重命名而無法攻擊;
4.單獨設置文件伺服器的域名:由於瀏覽器同源策略的關系,一系列客戶端攻擊將失效,比如上傳crossdomain.xml、上傳包含javascript的XSS利用等問題將得到解決。

❻ 什麼是WEB漏洞如何防禦WEB攻擊漏洞

WEB漏洞通常是指網站程序上的漏洞,可能是由於代碼編寫者在編寫代碼時考慮不周全等原因而造成的漏洞,常見的WEB漏洞有Sql注入、Xss漏洞、上傳漏洞等。防禦可從產生的原因上入手,比如規范代碼,寫出嚴謹的程序。

❼ 常見的web攻擊有什麼

Web服務可以認為是一種程序,它使用HTTP協議將網站中的文件提供給用戶,以響應他們的請求。這些請求由計算機中的HTTP客戶端轉發。為Web服務提供硬體基礎的專用計算機和設備稱為Web伺服器。從這種網路設計中可以看到,Web伺服器控制著大量信息。如果一個人擁有進入Web伺服器修改數據的能力,那他就可以對該Web伺服器所服務的信息和網站做任何他想做的事情。有以下七種常見攻擊:
1.目錄遍歷攻擊 - 此類攻擊利用Web伺服器中的漏洞來未經授權地訪問不在公共域中的文件和文件夾。一旦攻擊者獲得訪問許可權,他們就可以下載敏感信息,在伺服器上執行命令或安裝惡意軟體。
2.拒絕服務攻擊 - 藉助此攻擊類型,Web伺服器將會無法被合法用戶訪問,一般表現為超時,崩潰。這通常被攻擊者用於關閉具有特定任務的伺服器。
3.域名劫持 -在此攻擊中,攻擊者更改DNS設置以重定向到他自己的Web伺服器。
4.嗅探 - 在沒有加密的情況下,通過網路發送的數據可能會被截獲。通過對數據的分析攻擊者可能會獲得對Web伺服器的未授權訪問或身份偽造的能力。
5.網路釣魚 - 這是一種將真實網站克隆到虛假網站的攻擊,用戶不知道他們是否在真實的網站上。這種攻擊通過欺騙用戶來竊取敏感信息,如登錄密碼、銀行卡詳細信息或任何其他機密信息。
6.域欺騙 - 在此攻擊中,攻擊者會破壞域名系統(DNS)或用戶計算機,以便將流量定向到惡意站點。
7.Web破壞 - 通過這種類型的攻擊,攻擊者用自己的頁面替換組織的網站。這種情況下,無論攻擊者想在網站上取代什麼,他都可以在這次攻擊中做到。
如果遇到攻擊卻沒有一個專業的程序員維護,網站會經常性的出現很多問題,網頁打開緩慢、延遲、打不開甚至死機,因此流失很多客戶。
推薦杭州超級科技的超級盾!主要針對HTTP/HTTPS類Web業務的全球分布式雲防禦產品。具有DDoS防禦、CC防禦、雲WAF等功能。客戶自身不需要在本地部署任何安全設備,只需採用CNAME替換網站A記錄、或高防IP方式即可快速接入我們的服務。超級盾(WEB版)智能DNS能快速調度到全球離客戶最近的清洗中心,具有智能路由、智能加速的特性。