• Для традиционных методов веб-атак, таких как XSS, CSRF, SQL-инъекция (обычные не включают уязвимости загрузки файлов, DDoS-атаки) и т. д.

1.XSS

• Атака с использованием межсайтовых сценариев,Поскольку аббревиатура пересекается с css,Так что это можно назвать XSS.,Кросс-скриптовая атака — это атака через нелегальные HTML-теги, не относящиеся к сайту, или JavaScript в браузере зарегистрированного пользователя веб-сайта, который имеет дыры в безопасности.

Атаки с использованием межсайтовых сценариев могут привести к следующим последствиям.

• Используйте поддельные формы ввода для мошенничества с личной информацией пользователей.
• Используя скрипт для кражи значения cookie пользователя, жертва помогает злоумышленнику отправлять вредоносные запросы, не зная ситуации.

Руководство по мерам предосторожности

• HEAD ctx.set('X-XSS-Protection',0) //Отключаем фильтрацию XSS
• Политика безопасности контента (CSP, Content Security Policy) — это дополнительный уровень безопасности.,Используется для обнаружения и смягчения атак такого типа.,Включая такие атаки, как межсайтовый скриптинг (XSS) и внедрение данных.,Эти атаки могут использоваться для достижения любых целей: от кражи данных до уничтожения веб-сайтов или распространения вредоносных программ.
• HttpOnly Cookie Это наиболее эффективный способ предотвратить кражу пользовательских файлов cookie с помощью XSS-атак. средства, когда веб-приложение устанавливает файл cookie, установите его атрибут HttpOnly Это может предотвратить кражу вредоносного кода JavaScript клиентом файлов cookie на веб-странице и защитить информацию файлов cookie.

Метод установки: response.addHeader('Set-Cookie','uid=12;path=/; HttpOnly')

2.CSRF

• CSRF (межсайтовая подделка запросов), подделка межсайтовых запросов, представляет собой распространенную веб-атаку. Она использует идентификационные данные пользователя для выполнения незаконных операций от имени пользователя без его ведома.

CSRF-опасности

• Кража средств пользователя (перевод, потребление)
• Притвориться пользователем и опубликовать козла отпущения
• навредить репутации веб-сайта

предосторожность

• Запретить сторонние веб-сайты с использованием файлов cookie ----Есть проблемы совместимости

Referer Check ----Https не отправляет реферер
          app.use(async(ctx,next)=>{  реализация промежуточного программного обеспечения koa
                await next()
                const referer = ctx.request.header.referer
                  console.log('Referer:',referer)
            })

• Кликджекинг — кликджекинг: Кликджекинг — это метод атаки с использованием визуального обмана.,Злоумышленник встраивает веб-сайт, который необходимо атаковать, в свою собственную веб-страницу посредством вложенности iframe.,и установите iframe прозрачным,Открытие кнопки на странице, чтобы побудить пользователей нажать на нее, используется на различных веб-сайтах.,Используйте технологию iframe,Нажмите на картинку, чтобы ввести другой URL-адрес,Приведут к утечке информации о пользователях.

3.SQL-инъекция

• Злоумышленник успешно отправил на сервер вредоносный код SQL-запроса. После его получения программа ошибочно выполнила введенные злоумышленником входные данные как часть инструкции запроса, что привело к изменению исходной логики запроса и созданию дополнительного вредоносного кода, тщательно созданного злоумышленником. выполнен.　 　　

вред

• Незаконный доступ к информации базы данных без авторизации

предосторожность

• На уровне кода не допускается появление операторов sql.
• Для онлайн-тестирования вам необходимо использовать инструмент автоматического внедрения SQL для проведения тестов внедрения SQL на всех страницах.
• В параметрах веб-ввода выполните escape-код sql для всех параметров.

4.DDOS

• DDOS – это не атака,Это общий термин для большого класса атак.,Имеет десятки видов,Постоянно изобретаются новые методы атак.,веб-сайт учитывает все аспекты,могут быть объектами нападения,Просто разорвите одну ссылку,Это делает весь процесс невозможным для запуска.,Просто получите цель службы паралича
• Например, при столкновении с CC-атаками в мире максимум около 20 IP-адресов по очереди отправляют запросы, а объем запросов на каждый адрес составляет 200-300 раз в секунду. Когда я смотрю журнал доступа, я. чувствую, что запросы приходят как поток. Это очень много в мгновение ока. Через несколько минут размер файла журнала увеличится на 100 МБ.

Метод атаки

• SYN Flood: Атака использует TCP-квитирование путем отправки большого количества SYN-пакетов начального запроса соединения TCP с поддельными IP-адресами источника через цель. Целевой компьютер отвечает на каждый запрос соединения, а затем ожидает последнего шага квитирования, который является результатом этого процесса. Никогда не происходит исчерпания целевых ресурсов в процессе.
• HTTP-флуд: эта атака аналогична многократному нажатию обновления в веб-браузере на нескольких разных компьютерах одновременно. Большое количество HTTP-запросов переполняет сервер, что приводит к отказу в обслуживании.

защитные средства

• Бэкап веб-сайта не обязательно полностью работоспособен,Если вы можете добиться полностью статического просмотра,может удовлетворить потребности,Как минимум должна быть возможность отображать объявления,сообщить пользователю,веб-сайтпосмотри на проблему,Идет бесполезный ремонт
• Перехват HTTP-запросов: оборудование, сервер, брандмауэр. Расширение пропускной способности + CDN увеличивает стоимость преступлений.

5. Общие меры безопасности в Интернете

• Безопасность пароля
• Человеко-машинная проверка и код проверки
• Конфигурация HTTPS
• Управление сеансами
• Элементы управления безопасностью браузера