- XSS攻击(跨站脚本攻击)
- 黑客通过篡改网页,注入恶意HTML脚本,在用户浏览网页时,控制用户浏览器进行恶意操作的一种攻击方式
- 分类:
- 1) 反射型;
- 2) 持久型
- 解决方法:
- 1) 消毒;
-
- HttpOnly
- 注入攻击
- 分类:
- 1) SQL注入攻击;
- 2) OS注入攻击
- 解决方法:
- 1) 消毒;
- 2) 参数绑定
- 分类:
- CSRF攻击(跨站点请求伪造)
- 攻击者通过跨站请求,以合法用户的身份进行非法操作
- 解决方法: 识别请求者身份:
- 1) 表单Token;
- 2) 验证码;
- 3) Referer check
- 其他攻击方式
- Error Code,可能显示异常堆栈,从而暴露危险信息,解决方法:使用统一的500页面
- HTML注释,注释可能会暴露危险信息,解决方法:code review或者自动扫描
- 文件上传,可能上传病毒文件,解决方法:设置上传文件白名单,只允许上传指定类型的文件
- 路径遍历, 在URL中使用相对路径,遍历系统未开放的目录和文件,解决方法: 将资源文件部署在独立的服务器上,使用独立域名