服务器响应post请求_服务器post请求攻击

hacker|
69

GET和POST区别,CRSF的说法

GET的优点:

1.执行效率比POST高。

2.可以通过url传递数据,查找数据的时候就会体现到它的好处。

GET的缺点:

1.安全性很低,因为上传的数据都会显示在url上,所以一般用在上传无关紧要的数据上。

2.上传的数据量较小,一般不能超过4K.这也是因为url的长度而被限制的。

POST优点:

1.安全性高,但是也不是很高,如果想要高安全性的话就用https传输协议。

2.上传的数据量比GET大得多。“理论上讲,POST是没有大小限制的,HTTP协议规范也没有进行大小限制,说“POST数据量存在 80K/100K的大小限制”是不准确的,POST数据是没有限制的,起限制作用的是服务器的处理程序的处理能力。”

POST缺点:

1.执行效率比GET低,但是现在的计算机都很强大,这些几乎可以忽略不计,所以建议一般都使用POST方式。

2.不可以通过url传递数据,有时候可能会不方便.

;mid=100000054idx=1sn=71f6c214f3833d9ca20b9f7dcd9d33e4#rd

CSRF (Cross Site Request Forgery)攻击,中文名:跨站请求伪造。其原理是攻击者构造网站后台某个功能接口的请求地址,诱导用户去点击或者用特殊方法让该请求地址自动加载。用户在登录状态下这个请求被服务端接收后会被误以为是用户合法的操作。对于 GET 形式的接口地址可轻易被攻击,对于 POST 形式的接口地址也不是百分百安全,攻击者可诱导用户进入带 Form 表单可用POST方式提交参数的页面。

CSRF防御

1.通过 referer、token 或者 验证码 来检测用户提交。

2.尽量不要在页面的链接中暴露用户隐私信息。

3.对于用户修改删除等操作最好都使用post 操作 。

4.避免全站通用的cookie,严格设置cookie的域。

先从一个故事说起(故事纯属虚构,恶意模仿后果自负):

小谷最近遭遇电信诈骗被骗的倾家荡产,于是他想到了报复社会。在知乎上狂点800个没有帮助1000个举报后,他决定做点正事干票捞钱的生意。

「很多视频网站都有赠送礼品的功能,假如所有人都赠送我个礼物,我再转卖掉,不就发财啦」小谷寻思着。

说干就敢,经过一番折腾测试,小谷发现视频网站赠送礼物的接口是:

, 原来只要用户在登录状态下请求这个地址,就能给名为someone的用户赠送礼品ab231。

那如何才能让其他用户请求这个接口呢?其实只要用户点击就行,「色诱是最好的陷阱」回想起自己被骗的经过,小谷猥琐狠狠的打了一行文字 ——「想要的都在这里,今夜注定让你无眠~~ 饥人谷-最有爱的前端学习社区 」,然后在各个群组里回复。

经过一天等待,有几个上钩的,但远远达不到预期,「有没有更自动的办法,让用户只要看到即使不点也能上钩呢?」。小谷开始对整个网站功能逐一过滤,突然他眼前一亮,在用户评论编辑框内看到了上传外链图片的功能。「如果把这个 url 作为图片填进去,上传后会在评论区创建一个img 标签,src 对应的就是这个地址。当用户打开页面后这个 img 就会自动加载图片也就是发送这个请求,这样一来凡是打开这个页面的人不论是不是点击这个链接都会给赠送礼物,perfect!」 小谷为自己的聪明才智惊叹。

又过了一天,果然源源不断的礼物送了过来。这个时候小谷隐隐有些担心起来,虽然礼物送的都很小,但赠送都是有历史记录的,用户查看历史记录肯定会起疑心,能不能帮用户删除这条赠送记录呢?经过测试,发现删除赠送记录的接口地址是

, 接口类型为POST,请求参数为 { giftId:"ab231"}。 用户无法通过点击一个链接在不知情的情况下发送 POST 请求,怎么办呢?于是,小谷构造了一个页面:

当用户点开这个页面的链接后,会自动发送 POST 请求,然后跳转到原始首页。这样用户既在不知情的情况下赠送了礼品,又在不知情的情况下删除了赠送记录。大功告成后,小谷购买了个广告机在各大论坛狂发....

一周之后,警察👮叔叔来敲门了,咚🕳🕳

上面小谷的攻击流程就是典型的 CSRF (Cross Site Request Forgery)攻击,中文名:跨站请求伪造。其原理是攻击者构造网站后台某个功能接口的请求地址,诱导用户去点击或者用特殊方法让该请求地址自动加载。用户在登录状态下这个请求被服务端接收后会被误以为是用户合法的操作。对于 GET 形式的接口地址可轻易被攻击,对于 POST 形式的接口地址也不是百分百安全,攻击者可诱导用户进入带 Form 表单可用POST方式提交参数的页面。

后续......

xxxx视频网站不断接到用户举报,自己的礼品莫名丢失。经过排查发现有攻击者利用 CSRF 进行攻击,报警后赶紧让公司的安全部门的小饥来修复漏洞。

小饥梳理了一遍公司网站所有的接口,发现很多接口都存在这个问题。于是采用了anti-csrf-token的方案。 具体方案如下:

(上图是某电商网站的真实设置,这里页面上设置的 token和session里设置的token 虽然不直接相等,但 md5('1474357164624') === '4bd4e512b0fbd9357150649adadedd4e',后台还是很好计算的)

安全部的Leader 看了看小饥的方案,「方案出的很赞, 不过还有几点需要注意一下」:

,那相当于攻击者就获取了_csrf_token,短时间内可以使用这个 token 来操作其他 GET 接口。

高防云服务器主要为了防护哪些攻击?

一、带宽消耗攻击

DDoS带宽消耗攻击主要为直接洪流攻击,它利用了攻击方的资源优势,当大量代理发出的攻击流量汇聚于目标对象时,足以耗尽其网络接入带宽。常见的带宽消耗攻击类型包括:TCP洪水攻击,UDP以及ICMP洪流攻击,三者可以单独使用,也可同时使用。

二、系统资源消耗攻击

DDoS系统资源消耗攻击包括恶意误用TCP/IP协议通信(TCPSYN攻击与TCPPSH+ACK攻击)和畸形报文攻击两种方式,两者都能起到占用系统资源的效果。

应用层攻击,它针对特定的应用/服务缓慢地耗尽应用层上的资源。应用层攻击在低流量速率下十分有效,从协议角度看,攻击中涉及的流量可能是合法的。这使得应用层攻击比其他类型的DDoS攻击更加难以检测。HTTP洪水、CC攻击、DNS攻击等都是应用层攻击的实例。

HTTP洪水是利用看似合法的HTTPGET或POST请求攻击网页服务器或应用,通常使用僵尸网络进行。僵尸网络是通过将大量主机感染bot程序病毒所形成的一对多的控制网络,黑客可以控制这些僵尸网络集中发动对目标主机的拒绝服务攻击,这使得HTTP洪水攻击很难被检测和拦截。

CC攻击则基于页面攻击的,模拟许多用户不间断的对服务器进行访问,并且攻击对象往往是服务器上开销比较大的动态页面,涉及到数据库访问操作。由于使用代理作为攻击发起点,具有很强的隐蔽性,系统很难区分是正常的用户操作还是恶意流量,进而造成数据库及其连接池负载过高,无法响应正常请求。

DNS攻击主要有两种形式,一是通过发起大量的DNS请求,导致DNS服务器无法响应正常用户的请求;二是通过发起大量伪造的DNS回应包,导致DNS服务器带宽拥塞;两种方式都将导致正常用户不能解析DNS,从而不能获取服务。

ddos大量post请求

1、 HTTP floods

该攻击类型分为HTTP GET request floods和HTTP POST request floods两种形式,第一种攻击者通过构造HTTP GET请求报文,向目标服务器发送针对特定资源的大量请求;一条HTTP请求的成本很低,但是目标服务器做出对应的响应成本却可能很高。第二种,POST请求往往需要携带表单参数或请求体信息,发送POST请求一般仅需较小的计算与带宽成本,而服务端进行处理操作的过程往往消耗更高。

2、Large Payload POST requests

一般通过POST方法发送容量大、结构复杂的请求体到目标服务器,使得目标服务器在解析这些请求内容的过程发生过载(CPU或内存);攻击者通过构造特定的序列化请求体,如xml、json等,在服务端执行反序列化操作时引起服务过载。

3、Asymmetric requests

利用的是请求与响应的非对称性进行攻击,请求的目标路径会执行高消耗操作而发起攻击请求轻而易举。通常来说,这类攻击需要对目标服务有一定的熟悉与了解,明确攻击目标哪些地方存在这种非对称性利用的可能及利用方式。

4、 LowSlow attack(Slowloris/Slow Post/Read attack)

这种类型的攻击更多是面向连接层面,以基于线程的Web服务器为目标,通过慢速请求来捆绑每个服务器线程,从而消耗服务器的线程连接资源,这类攻击中主要可分为Slowloris、Slow Post/Read 几种攻击方式。

post提交可以防止中间人攻击吗

如何防止POST方法的黑客攻击

我有一个脚本,使用$ _POST变量来存储到数据库。 有些用户试图通过制作自己的post form方法或使用curl将post变量和值发送到服务器来欺骗系统。 我该如何防止这种攻击? 谢谢

有人用软件反复向我的网站post请求,php程序如防止来自同一IP的攻击?

无论使用PHP还是Apache(.htaccess)的手段,这个IP的请求还是被彻底执行了。CPU还是被占用了,虽然可能会占用的稍微少一点。

所以通过服务器设置,比如在Linux使用iptables防火墙。或者使用其他的前置的硬件防火墙。过滤这种同一IP在短时间内的不间断访问。这才是有效的手段。

0条大神的评论

发表评论