2019-11-22 分类: 网站建设
网站安全要求在设计和使用的各个方面保持警惕。这篇介绍性文章不会使您成为网站安全专家,但是它将帮助您了解威胁的来源以及如何针对最常见的攻击来增强网站应用程序。
先决条件: | 基本的计算机技能。 |
---|---|
目标: | 了解对网站应用程序安全性最常见的威胁,以及如何减少网站被黑客入侵的风险。提供有效的网站安全性解决方案。 |
互联网是危险的地方!通常,我们会听到由于拒绝服务攻击而无法使用网站,或者在其首页上显示经过修改(且通常是有害的)信息的网站。在其他备受瞩目的案例中,数百万的密码,电子邮件地址和信用卡详细信息会向公众发布,使网站用户面临个人尴尬和风险。财务损失。
网站安全的目标是防止这些类型的攻击。更正式地讲,网站安全是保护网站免遭未经授权的访问,使用,修改,破坏或破坏的行为/做法。
网站的有效安全性需要在整个网站上进行设计工作:在网站应用程序中,网站服务器配置中,在创建和更新密码的策略中以及在代码端-client。尽管所有这些听起来都很令人担忧,但好消息是,如果您使用的是服务器端网站框架,则默认情况下它将包含强大的,经过深思熟虑的防御机制,以应对多种最常见的攻击。通过配置网站服务器,例如启用HTTPS,可以缓解其他攻击。最后,还有公开可用的漏洞分析工具,可以帮助您确定是否犯了明显的错误。
本文的其余部分详细介绍了对网站最常见的威胁,并提供了一些简单的步骤来保护您的网站。
注意:这是一篇介绍性文章,旨在帮助您考虑网站的安全性。这并不详尽。
本节仅列出了一些最常见的网站威胁以及如何缓解这些威胁。在阅读时,请注意,当网站应用程序信任或对浏览器的数据不够可疑时,威胁将如何出现!
XSS是用于描述攻击类别的术语,该类别允许攻击者通过网站注入客户端执行的脚本,以针对其他用户的网站浏览器。由于注入的代码来自网站,因此网站浏览器认为它是安全的,因此可以执行将身份验证cookie从用户传递给攻击者的操作。一旦攻击者获得了该cookie,他就可以像被攻击的用户一样登录到该站点,并可以执行该用户可以做的任何事情。根据发生攻击的站点,这可能包括访问信用卡详细信息,联系信息,更改密码等。
注意:与其他类型相比,XSS漏洞历来是最常见的漏洞。
请求站点将注入的脚本返回到网站浏览器的主要方法有两种,这些方法称为反射性XMS漏洞和持久性XSS漏洞。
当传递给服务器的用户内容立即返回,保持不变并显示在浏览器中时,就会发生一个反映的XSS漏洞-加载新页面时,将执行原始内容中的所有脚本!
以某个站点中的搜索功能为例,在该站点中,搜索词被编码为URL中的参数,并且这些词与结果一起永久显示。攻击者可以构建包含恶意脚本作为参数的搜索链接(例如:http://mysite.com?q=beer),然后通过电子邮件将其发送给其他用户。如果目标用户单击此“有趣的链接”,则在显示搜索结果时将执行脚本。如前所述,这为攻击者提供了使用受害者帐户登录网站所需的所有信息-可能以该用户的身份购物或访问联系人列表。
永久性XSS漏洞将是一个恶意脚本,该恶意脚本被存储在网站上,然后在不做任何修改的情况下被其他用户稍候显示并在其不知情的情况下执行。
例如,接受包含纯HTML代码的注释的聊天屏幕可以存储攻击者的恶意脚本。当显示注释时,脚本将被执行,然后可以将访问用户帐户所需的信息发送给攻击者。这种攻击方法极为普遍和有效,因为攻击者无需与受害者建立直接关系。
使用POST或发送数据时GET是XSS漏洞的最常见来源,来自网站浏览器的任何数据都可能受到攻击(包括浏览器显示的cookie数据或已加载和显示的用户文件)。
网页名称:什么是网站安全?常见网站安全的威胁有哪些?
分享地址:/news32/80882.html
成都网站建设公司_创新互联,为您提供Google、网站排名、自适应网站、小程序开发、ChatGPT、网站策划
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联
猜你还喜欢下面的内容