【原】你该知道的Web攻击
in 随笔 with 0 comment

【原】你该知道的Web攻击

in 随笔 with 0 comment

学者贵于行之,而不贵于知之。 --司马光

随着互联网时代的到来,网络渐渐成为了人们的生活必需品,而作为Web程序员而言,我们通过网页向人们展示这个世界。然而,你是否意识到你的网站可能被攻击,你的网站会泄露用户资料呢?你该知道下面几种典型的攻击手段。

注入攻击

我们常见的有sql注入和OS命令注入,漏洞产生的原因在于,我们太过信任用户,我们队用户提交给服务器的信息没有验证,从而导致了一系列的问题,当然OS命令的注入,除了对信息没有验证以外,还和我们错误的web服务器运行用户的配置,以及Linux系统中各个文件夹权限的把控。

跨站攻击

我们能够保证自己不干坏事,但是,别人是不是都很老实,这就难说了,用户在访问了一些挂马的网站后,其本身的计算机内就有了一段病毒程序,比如一个很讨厌的JS,这个JS的主要功能就是修改用户本地的Cookie,如果我们没有限制Cookie只可以通过HTTP访问的话,很有可能会被修改SessionId,这样,病毒制作者就可以肆无忌惮的伪装成任意一个合法成员进入我们的系统,因为,我们对于用户身份的判断都是依靠SessionId的。

网站报错

其实我们在debug阶段会输出各种调试信息,有的甚至自己都看不懂的一堆错误码,如果在线上环境,忘记关掉的话,很有可能因为一个错误报出这样的异常信息,明白人一眼就可以大致了解你用的框架类型,你的代码文件名,你的函数名等等,是不是很可怕呢?

其他攻击

DDOS、暴力破解等等,这些攻击手段,我们在开发中没法避免,但是防火墙却可以轻松搞定,这时候再考虑成本就没有必要啦。

最后说两句,古人说:“害人之心不可有,防人之心不可无”,尽管现在有很多框架和云服务商已经帮我们做了层层防护,但是,我们依旧得有警惕心。将安全融入到开发中去!

Comments are closed.