首页 > 其他分享 >应对Web安全防护,溯源追踪攻击者。

应对Web安全防护,溯源追踪攻击者。

时间:2024-07-03 12:28:26浏览次数:20  
标签:Web HTTP 攻击 用户 安全 攻击者 溯源

前言

随着时代的进行,互联网站走进千家万户,网络安全问题也逐渐提上日程,国家对网络安全也欲加重视。


一、重视保护

现如今,大数据已成为必要发展趋势。Web网站也成为人们获取信息和企业开放产品的重要行式。提到网站,就不得不提到Web安全。仍有许多企业不重视,不在乎Web安全,只要求网页的华丽,内容的新颖。千里之堤,溃于蚁穴。往往越是强大的安全系统越是容易败在一句sql指令上。Web网站是一整个安全防护的大门,如果连Web安全都做不好,那这整个安全防护网就是彻彻底底的失败,所做你一切努力都是徒劳无功。

二、各类攻击形式

想要知道如何应对Web防护,就要了解各类攻击形式

1.主动攻击

  • OS注入攻击
  • SQL注入攻击

攻击者通过直接访问Web应用,把攻击代码传入攻击模式。主要攻击服务器上的资源。

这类攻击主要是针对网站开发前期逻辑的错误,通常是一些低级错误,对于开发者来讲比效容易避免,即使出现了错误,借助工具也比效容易发现和修复。

2.被动攻击

  • 跨站脚本攻击(XXS)
  • HTTP首部注入攻击
  • 邮件注入攻击
  • 会话固定攻击
  • 跨站点请求伪造

利用圈套策略执行代码的攻击模式。在被动攻击过程中,攻击者不直接对目标Web应用访问发起攻击。

(1)攻击者诱导用户触发已设置好的陷阱,而陷阱会启动发送已嵌入攻击代码的HTTP请求。

(2)用户的浏览器出发事先已设定好陷阱的HTTP请求。

(3)用户的浏览器运行攻击代码

(4)执行攻击代码的后果是用户所持的Cookie等被窃取、用户权限遭恶意使用。

当然,此类攻击也包括DDos攻击以及由DDos攻击衍生出来的CC攻击。利用被动攻击,可发起对原本从互联网上无法直接访问的企业内网等网络的攻击。只要用户踏入攻击者预先设好的陷阱,在用户能够访问到的网络范围内,即使是企业内网也同样会受到攻击。

三、万变不离其宗

我想,不管是被动攻击还是主动攻击,都是利用了HTTP协议其不具备必要的安全功能。几乎现今所有的Web网站都会使用会话(session)管理、加密处理等安全性方面的功能,而HTTP协议内并不具备这些功能。既然黑客都是在HTTP上做文章,那就利用好HTTP。想到这我抽时间用JavaScript 写了一个利用HTTP触发事件扫描用户HTTP请求,并建黑白名单来进行溯源。

项目地址

这样便能找到攻击者,不会再有网站被攻击后还不知道是怎么死的尴尬局面。

标签:Web,HTTP,攻击,用户,安全,攻击者,溯源
From: https://blog.csdn.net/2302_79706076/article/details/140147380

相关文章

  • 打印功能实现--web端+移动端
    web端---调用本机的打印机即可 <!DOCTYPEhtml><htmllang="en"><head><metacharset="UTF-8"><title>PrintCustomContentandStyle</title><style>@mediaprint{/*打印时隐藏页面中的元素*/#header,#footer{......
  • 搭建工程之一 eclipse 中基于 maven 的 webapp工程能基于tomcat运行
    一、背景  作为开发人员,开发的web(运行在tomcat容器中)希望能够在本地开发工具(eclipse)中运行调试,加快开发测试进度。二、操作步骤1、创建maven工程 在eclipse上右键,选择"New"---"Other"---"Maven"----"MavenProject" 勾选上“Createasimpleproject”......
  • WebStorm 2024 for Mac JavaScript前端开发工具
    Mac分享吧文章目录效果一、下载软件二、开始安装1、双击运行软件(适合自己的M芯片版或Intel芯片版),将其从左侧拖入右侧文件夹中,等待安装完毕2、应用程序显示软件图标,表示安装成功3、打开访达,点击【文稿】。将安装包内的【ja-netfilter】文件夹拖到文稿中4、填写内容,修改用......
  • JavaScript-WebAPI
    文章目录JS组成什么是webApis和APIDOM简介document对象获取DOM对象利用css选择器来获取DOM元素选择指定css选择器的所有元素其他获取DOM元素方法(了解)操作元素内容对象.innerText对象.innerHTML操作元素属性操作元素常用属性操作元素样式属性通过style属性操作......
  • WebDriver 类的常用属性和方法
    目录......
  • WebAPI项目框架仓储模式+导入SqlSuag
    仓储(Respository)是对数据库访问的一个封装解决方案新建Respository文件夹,新建类库Web.Core.IRepository,Web.Core.Repository解决方案新建Services文件夹,新建类库Web.Core.IServices,Web.Core.Services在类库Web.Core.Model下面新建Entity文件夹SqlSugar是国人开发者开发的一......
  • WebAPI项目框架JWT权限验证
    JWT是什么?校验逻辑?授权过程?这里就不过多的阐述了,直接上代码在appsettings.json中配置jwt参数的值SecretKey必须大于16个字符1{2"Logging":{3"LogLevel":{4"Default":"Information",5"Microsoft.AspNetCore":"Warni......
  • web登陆注册页面留言框-连接服务器
    一.成品展图二.前端代码 1.注册regist.html<!DOCTYPEhtml><html><head> <metacharset="utf-8"><title>注册</title><metacharset="utf-6"><linkrel="stylesheet"type="text/css"hr......
  • 制作Web页面广告
    要求制作简单页面,作为广告载体。页面高度至少3屏,以保证能展示用户上下移动滚动条时的广告效果。制作对联广告(1)要求①页面加载完成即出现左右对联广告:②广告固定于页面上方;③广告能够关闭.(2)思路①使用BOM获取浏览器信息;②使用DOM控制广告元素的内容和行为:③封装......
  • WebAPI项目框架新建读取配置文件帮助类
    在.netcorewebapi项目中,我们会把配置信息同意放置在appsettings.json中,通过新建读取帮助类,更加简单的读取配置信息。新建公共类库文件夹Common,新建公共类库Web.Core.Common在Web.Core.Common类库下新建Helper文件夹,新建AppSettings帮助类 .NetCore6.0WebAPI项目框架搭......