六六短链接系统防御能力提升
来源:六六短链
阅读量:次
六六短链接系统在2016年上线,一直在内部使用,2020年对外开放,短链接系统开放以来频繁遭遇CC、DDOS攻击,经过不断的调整和完善,防御能力有了很大提升,可以忽略大部分的DDOS流量攻击,短网址生成与跳转服务不受任何影响。这里介结下常见的攻击与防御有哪些。
Xss攻击
1)说明
跨站点脚本攻击,攻击方通改篡改网页,注入html脚本,当用户浏览网时,诱导用户打开该脚本达到攻击的目的,或者把这个恶意脚本保存到数据库里,用户浏览网页时自会被运行,
这种常用在博客、论坛、评论等普通用户可以输入的地方。
2)防御
对html字符转义。
注入攻击
1)说明
一种是sql注入攻击:在交互的界面,如登录输入框拼揍sql,不使用密码进入系统。一种是os注入攻击,利用程序漏洞,拿到root权限,对os任意操作。
2)防御
通过过滤器,过滤掉关键字,比如drop table等。不要使用sql拼接的方式,如何判断用户登录权限,应该是根据用户查到用户的信息,再校验密码是否正确;使用orm框架。
CSRF攻击
1)说明
跨站点请求伪造,以合法身份进行非法操作,如转账等,合法身份是指攻击者可以拿到用户的cookie与session到达攻击目的。
2)防御
参数验签防篡改。
Cc攻击
1)说明
一般是针对数据库的,通过大量访问某个网页,而这个网页会频繁操作数据库,当有大量的访问量时,会造成资源耗尽,一直到系统崩溃。
2)防御
在数据库层加缓存,ip访问次数限制。
DDO攻击
1)说明
主要针对ip攻击,DDOS是流量攻击,危害性非常大,被称为web杀手,通过向服务器发送大量数据包,耗尽带宽。
2)防御
需要有大的带宽和防火墙或者购买的云产品。
Xss攻击
1)说明
跨站点脚本攻击,攻击方通改篡改网页,注入html脚本,当用户浏览网时,诱导用户打开该脚本达到攻击的目的,或者把这个恶意脚本保存到数据库里,用户浏览网页时自会被运行,
这种常用在博客、论坛、评论等普通用户可以输入的地方。
2)防御
对html字符转义。
注入攻击
1)说明
一种是sql注入攻击:在交互的界面,如登录输入框拼揍sql,不使用密码进入系统。一种是os注入攻击,利用程序漏洞,拿到root权限,对os任意操作。
2)防御
通过过滤器,过滤掉关键字,比如drop table等。不要使用sql拼接的方式,如何判断用户登录权限,应该是根据用户查到用户的信息,再校验密码是否正确;使用orm框架。
CSRF攻击
1)说明
跨站点请求伪造,以合法身份进行非法操作,如转账等,合法身份是指攻击者可以拿到用户的cookie与session到达攻击目的。
2)防御
参数验签防篡改。
Cc攻击
1)说明
一般是针对数据库的,通过大量访问某个网页,而这个网页会频繁操作数据库,当有大量的访问量时,会造成资源耗尽,一直到系统崩溃。
2)防御
在数据库层加缓存,ip访问次数限制。
DDO攻击
1)说明
主要针对ip攻击,DDOS是流量攻击,危害性非常大,被称为web杀手,通过向服务器发送大量数据包,耗尽带宽。
2)防御
需要有大的带宽和防火墙或者购买的云产品。
短链接
系统防御
内容版权声明:除非注明,否则皆为本站原创文章。
