当前位置:   article > 正文

详解Web安全攻防战(DoS攻击、CSRF、XSS、SQL注入)_csrf xss sql dos

csrf xss sql dos

在这里插入图片描述
       之前学校做的项目都没有像样地考虑过安全方面的问题。今天复习面试的时候看到Web安全部分,学习并总结一下。(PS: Web安全几乎是大厂面试必问的问题,想进大厂的同学注意啦。)

前言

       用户信息泄露、网站被黑甚至网银被盗用的事件屡见不鲜,Web安全问题理应得到前端的更多的重视,大前端要“把手伸得更远一点”。
       常见的Web安全问题有DoS攻击、CSRF攻击、XSS漏洞和SQL注入等。本文将围绕这四种常见的攻击展开一场防御战。

DoS攻击

       DoS(Denial of Service),拒绝服务,顾名思义这种攻击是为了让服务器无法提供正常服务,最常见的DoS攻击是网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络,使得所有可用网络资源都被消耗殆尽,最后导致合法的用户请求无法通过。连通性攻击指用大量的连接请求冲击计算机,使得所有可用的操作系统资源都被消耗殆尽,最终计算机无法再处理合法用户的请求。
       可以看出来,DoS攻击本身也受网络规模和网络速度的限制,单个计算机没办法做到攻破一台服务器,所以DoS攻击者开发了分布式攻击DDoS(Distributed Denial of Service),集合许多计算机的带宽来同时对一台服务器发动攻击。下面我们来看三种典型的DoS攻击:SYN洪水攻击、IP欺骗和Land攻击。

SYN洪水攻击

       SYN洪水攻击是利用TCP协议的缺陷,通过发送大量的半连接请求消耗资源,造成网络拥塞甚至宕机以达到攻击者不可告人的秘密。
       我们都知道标准的TCP连接需要经过三次握手,首先是客户端发送SYN,服务端收到后发送ACK-SYN,客户端收到后再回复ACK连接建立成功。黑客针对TCP协议栈在两台主机间初始化连接握手的过程进行攻击,黑客通过包装第三次握手的ACK包使得服务端不能收到客正确的户端ACK包。而由于TCP协议具有超时重传机制,服务端会一直重传直到超时。这些虚假连接会一直占用缓冲区,正常的请求被丢弃,引起严重的网络阻塞甚至系统瘫痪。

IP欺骗

       这种攻击同样是利用TCP协议栈的漏洞,我们知道TCP协议有一个RST位用于连接出错时的复位。这种攻击利用IP欺骗,使得服务器将合法的用户连接复位,影响正常用户的使用。比如说现在有一个合法连接(172.111.222.123),攻击者构造一个TCP数据报,伪装自己的IP是172.111.222.123,并向服务器发送一个带RST位的数据报。服务器接收到后会认为该连接发生错误&#x

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/AllinToyou/article/detail/160363
推荐阅读
相关标签
  

闽ICP备14008679号